{"id":26922,"date":"2021-06-11T13:09:11","date_gmt":"2021-06-11T11:09:11","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26922"},"modified":"2021-06-11T13:09:11","modified_gmt":"2021-06-11T11:09:11","slug":"minecraft-mod-adware-google-play-revisited","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/minecraft-mod-adware-google-play-revisited\/26922\/","title":{"rendered":"Malware in Minecraft-Mods: Die Geschichte geht weiter"},"content":{"rendered":"

Obwohl wir vor Kurzem \u00fcber den Fund von 20 Fake-Apps in Google Play berichtet<\/a> haben, die als Modpacks<\/em> f\u00fcr Minecraft getarnt sind \u2013 die beliebtesten Apps wurden \u00fcber eine Million Mal heruntergeladen \u2013 taucht immer noch Schadsoftware unter dem Deckmantel von Minecraft<\/em> in Google Play auf. Anstatt den angebotenen Service zu liefern, verwandeln diese sch\u00e4dlichen Apps die Smartphones der Benutzer in Tools f\u00fcr extrem aufdringliche Werbung.<\/p>\n

Anders ausgedr\u00fcckt, sind die Apps aus der Benutzerperspektive vollkommen nutzlos. Nachdem die App zum ersten Mal ge\u00f6ffnet und geschlossen wird, verschwindet ihr Symbol aus dem Men\u00fc des Smartphones. Die App bleibt jedoch auf dem Smartphone und arbeitet im Hintergrund auf Hochtouren: Sie \u00f6ffnet den Browser und beginnt mit dem Anzeigen von Werbung. Diese Fake-Apps k\u00f6nnen sogar Videos von YouTube abspielen, Seiten auf Google Play \u00f6ffnen und vieles mehr. Beispielsweise \u00f6ffnete die von uns untersuchte Version automatisch alle zwei Minuten ein Browserfenster mit Werbung, wodurch das Handy quasi unbenutzbar gemacht wird. Am l\u00e4stigsten an dieser Schadware ist, dass die meisten Benutzer gro\u00dfe Schwierigkeiten haben herauszufinden was genau passiert ist, welche App daf\u00fcr verantwortlich ist und wie sie dem Ganzen Einhalt gebieten k\u00f6nnen.<\/p>\n

Wir haben Google \u00fcber unsere Entdeckung informiert und die Apps wurden schnell aus dem Store entfernt.<\/p>\n

Neue Versionen von sch\u00e4dlichen Apps<\/h2>\n

Die Tatsache, dass die Apps aus Google Play gel\u00f6scht wurden, bedeutet allerdings nicht das Ende der Schadware. In der Vergangenheit haben Entwickler ihre Malware nur leicht ge\u00e4ndert und dann versucht die Version mit neuem Namen \u00fcber ein anderes Entwicklerkonto zu ver\u00f6ffentlichen.<\/p>\n

Ein Beispiel f\u00fcr recycelte Schad-Apps ist der VK Music-Trojaner, der die Log-in-Daten der Nutzer von VKontakten auslesen kann. Obwohl Google Play \u00fcber den Vorfall informiert wurde, trieb sich der als App getarnte Trojaner noch viele<\/a> Jahre<\/a> in Google Play herum.<\/p>\n

Angesichts dessen haben wir den Fall der sch\u00e4dlichen Minecraft-Modpacks in Google Play erneut \u00fcberpr\u00fcft, um herauszufinden, ob unsere Berichterstattung n\u00fctzlich war. Wir begaben uns also auf die Suche nach \u00e4hnlichen Apps\u00a0\u2026 und haben einige gefunden.<\/p>\n

Neue und verbesserte Versionen<\/h3>\n

Zuerst fanden wir einige Apps, die nach dem oben erkl\u00e4rten Ansatz erneut in Google eingeschleust wurden, und zwar mit einigen Verbesserungen. Normalerweise akzeptieren diese Apps Push-Nachrichten-Kommandos von den Angreifern. Sie dienen zum Anzeigen von Vollbildwerbung. Au\u00dferdem k\u00f6nnen die Apps ein zus\u00e4tzliches Modul herunterladen. Durch das heruntergeladene Modul auf dem Handy stehen mehr Funktionen zur Verf\u00fcgung: Das App-Symbol ausblenden, einen Browser starten, YouTube-Videos abspielen, Seiten auf Google Play \u00f6ffnen usw.<\/p>\n

In diesem Fall enthielt die Liste von kompromittierten Apps, abgesehen von den Minecraft-Mods, ein Datenrettungsprogramm mit dem Namen File Recovery \u2013 Recover Deleted Files<\/a>. Die Version 1.1.0, die bis Februar 2021 auf Google Play heruntergeladen werden konnte, verf\u00fcgte \u00fcber eine sch\u00e4dliche Payload. Diese Version wurde entfernt und durch die neue, sichere Version 1.1.1 ersetzt.<\/p>\n

Vereinfachte Versionen mit bezahlten Abos in Google Play<\/h3>\n

Wir haben auch einige Modpacks mit \u00e4hnlichen Grundfunktionen gefunden \u2013 eine Konfigurierung, die es erm\u00f6glicht hin und wieder einige Vollbildwerbungen anzuzeigen, sogar wenn die App inaktiv ist. Das App-Symbol ausblenden, den Browser, YouTube oder Google Play starten k\u00f6nnen diese Apps allerdings nicht. Daf\u00fcr wird die Funktion In-App-K\u00e4ufe verwendet, um mehr Geld einzubringen.<\/p>\n

\"\"

Einer der sch\u00e4dlichen Minecraft-Modpacks in Google Play<\/p><\/div>\n

Interessanterweise steht derzeit eine App als \u201eBasic-Version\u201c im Store zur Verf\u00fcgung, bei der die In-App-K\u00e4ufe aktiviert sind, obwohl dieselbe App vor einigen Monaten noch mit dem herunterladbaren Modul funktionierte. Daraus schlossen wir, dass die Betreiber der sch\u00e4dlichen App weiter mit verschiedenen M\u00f6glichkeiten experimentieren, um mehr Geld herauszuholen.<\/p>\n

Version zum Diebstahl von Facebook-Konten<\/h3>\n

Zus\u00e4tzlich zu diesen Apps, haben wir auch einige weitere Apps gefunden, dessen Hauptfunktion nicht mit den oben beschriebenen sch\u00e4dlichen Funktionen \u00fcbereinstimmt. Bis vor nicht allzu langer Zeit war eine gef\u00e4lschte Version von der Werbenetzwerk-App Madgicx sowie eine Fake-App f\u00fcr Werbeverwaltung in TikTok auf Google Play verf\u00fcgbar, die kontinuierlich nach den Facebook-Anmeldedaten des Benutzers fragt und die Zugangsdaten stiehlt, sobald die Daten eingegeben werden.<\/p>\n

Apps von alternativen Stores<\/h3>\n

Oft k\u00f6nnen sch\u00e4dliche Apps auf alternativen Stores heruntergeladen werden, noch lange nachdem sie auf Google Play entfernt wurden. Das ist nicht \u00fcberraschend, denn selbst Google, mit weit mehr Ressourcen als durchschnittliche Unternehmen, schafft es nicht immer die riesige Menge an Apps zu kontrollieren. Wir wollten diese Tatsache trotzdem hier erw\u00e4hnen, weil es ein klarer Beweis daf\u00fcr ist, das alternative Apps-Stores nicht sonderlich sicher sind. M\u00f6chten Sie diese Art von App-Stores aus irgend einem Grund trotzdem verwenden, ist es ratsam einen zuverl\u00e4ssigen Virenscanner f\u00fcr Smartphones<\/a>\u00a0zu installieren, um sich vor gef\u00e4hrlichen Apps zu sch\u00fctzen.<\/p>\n

Wie wir aus diesem Vorfall und vielen<\/a> anderen<\/a> Vorf\u00e4llen,<\/a> bei denen Malware<\/a> in den offiziellen App-Store von Google<\/a> geschleust wurde, lernen k\u00f6nnen, ist es immer besser das Smartphone mit einem effektiven Virenscanner zu sch\u00fctzen, selbst wenn Sie Ihre Apps nur in Google Play herunterladen.<\/p>\n

<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Wir haben weitere Modpacks f\u00fcr Minecraft und ein Datenrettungsprogramm in Google Play gefunden, die sch\u00e4dliche Adware enthalten.<\/p>\n","protected":false},"author":2624,"featured_media":26924,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[731,55,3836,171,2476,184,3307,3703],"class_list":{"0":"post-26922","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-adware","9":"tag-android","10":"tag-applikationen","11":"tag-gamer","12":"tag-gamers","13":"tag-google-play","14":"tag-minecraft","15":"tag-mods"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/minecraft-mod-adware-google-play-revisited\/26922\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/minecraft-mod-adware-google-play-revisited\/22950\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/18442\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/9182\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/24893\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/minecraft-mod-adware-google-play-revisited\/22887\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/22106\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play-revisited\/25465\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/minecraft-mod-adware-google-play-revisited\/24914\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/minecraft-mod-adware-google-play-revisited\/30892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/minecraft-mod-adware-google-play-revisited\/9732\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/40202\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/minecraft-mod-adware-google-play-revisited\/17111\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/minecraft-mod-adware-google-play-revisited\/17614\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/minecraft-mod-adware-google-play-revisited\/14913\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/minecraft-mod-adware-google-play-revisited\/27178\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/minecraft-mod-adware-google-play-revisited\/24008\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/minecraft-mod-adware-google-play-revisited\/29327\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/minecraft-mod-adware-google-play-revisited\/29131\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/gamer\/","name":"Gamer"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2624"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=26922"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26922\/revisions"}],"predecessor-version":[{"id":26926,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26922\/revisions\/26926"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/26924"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=26922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=26922"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=26922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}