{"id":27178,"date":"2021-06-16T12:51:48","date_gmt":"2021-06-16T10:51:48","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=27178"},"modified":"2021-06-16T12:52:33","modified_gmt":"2021-06-16T10:52:33","slug":"minecraft-mod-adware-google-play-revisited","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/minecraft-mod-adware-google-play-revisited\/27178\/","title":{"rendered":"Malware in Minecraft-mods: een nieuw hoofdstuk"},"content":{"rendered":"

Hoewel we onlangs meldden dat we 20 apps op Google Play hadden gevonden <\/a>\u00a0die vermomd waren als Minecraft<\/em>-modpacks \u2014 de populairste met meer dan een miljoen downloads \u2014 blijft er malware met een Minecraft<\/em>-thema op Google Play opduiken. In plaats van te doen wat ze beweren, veranderen deze apps de smartphones en tablets van gebruikers in extreem opdringerige advertentietools.<\/p>\n

Voor de duidelijkheid: de apps waren compleet nutteloos vanuit een gebruikersperspectief. Na de eerste keer opstartten verborgen ze hun pictogrammen en openden ze herhaaldelijk de browser om advertenties weer te geven. Ze konden daarnaast ook onder andere video\u2019s van YouTube afspelen en Google Play-app-pagina\u2019s openen. De versie die wij analyseerden, opende bijvoorbeeld elke twee minuten de browser, waardoor het apparaat in feite onbruikbaar werd. Dit was bijzonder verontrustend, omdat het voor een gebruiker uiterst moeilijk was uit te vinden wat er aan de hand was, welke app verantwoordelijk was voor de problemen en hoe dit gestopt kon worden.<\/p>\n

We meldden onze bevindingen aan Google, en de schadelijke apps werden al snel uit de winkel verwijderd.<\/p>\n

Nieuwe versies van schadelijke apps<\/h2>\n

Verwijdering uit de Google Play Store betekent niet meteen dat de malware ook verslagen is; historisch gezien is duidelijk geworden dat de makers simpelweg nieuwe, enigszins gemodificeerde versies uploaden onder andere namen en vanaf andere ontwikkelaarsaccounts.<\/p>\n

E\u00e9n zo\u2019n voorbeeld zien we bij VK Music Trojan, die VK-gebruikersaccounts stal, en ondanks het feit dat hij werd gerapporteerd, meerdere<\/a> jaren<\/a> op Google Play stond.<\/p>\n

Daarom hebben we de schadelijke Minecraft-modpacks in Google Play opnieuw bekeken om na te gaan of melding ervan had geholpen. Om die reden begonnen we een zoektocht naar vergelijkebare apps, en we vonden er inderdaad een aantal.<\/p>\n

Nieuwe, verbeterde versies<\/h3>\n

Eerst vonden we verschillende apps die gebruikmaakten van de bovenstaande aanpak, maar dan met een aantal verbeteringen. In een basisscenario accepteren de apps pushbericht-commando\u2019s van de aanvallers om schermvullende advertenties te tonen (geen interactie van de gebruiker vereist). De apps zijn ontworpen om tevens een extra module te downloaden. Als die module is gedownload, komen er meer functies beschikbaar, waardoor de apps hun pictogrammen kunnen verbergen, de browser kunnen starten, YouTube-video\u2019s kunnen afspelen, Google Play-app-pagina\u2019s kunnen openen, enzovoort.<\/p>\n

Deze keer bevatte de lijst van gecompromitteerde apps, naast Minecraft-mods, een programma voor bestandsherstel met de naam File Recovery \u2013 Recover Deleted Files<\/a>. Versie 1.1.0, tot februari 2021 beschikbaar op Google Play, bevatte een schadelijke payload. Die versie is inmiddels verwijderd, en versie 1.1.1., die nu op Google Play staat, is wel veilig.<\/p>\n

Vereenvoudigde versie met betaald abonnement op Google Play<\/h3>\n

Ten tweede vonden we een paar Minecraft-modpacks met basisfunctionaliteit, een configuratie waarbij de apps af en toe schermvullende advertenties tonen, zelfs als de app niet actief is, maar niet in staat zijn om hun pictogrammen te verbergen of de browser, YouTube of Google Play te starten. Voor extra monetarisatie wordt de functie voor in-app-aankopen gebruikt.<\/p>\n

\"Een

Een van de schadelijke Minecraft-modpacks op Google Play<\/p><\/div>\n

Het is interessant om te zien dat een van de apps nu in de winkel beschikbaar is als een \u201cbasisversie\u201d en met in-app-aankopen ingeschakeld, terwijl hij een paar maanden geleden nog afhankelijk was van de extra downloadbare module. Hier kunnen we uit opmaken dat de eigenaars blijven experimenteren met de monetarisatie-opties.<\/p>\n

Versie die Facebook-accounts steelt<\/h3>\n

Ten derde vonden we nog verschillende andere apps waarin de hierboven beschreven schadelijke functionaliteit niet de belangrijkste was. Een tijdje geleden waren er op Google Play bijvoorbeeld een nepadvertentienetwerk-app van Madgicx en een nepadvertentiebeheer-app van TikTok te vinden die gebruikers dringend om hun Facebook-accountgegevens vroegen en die, als de gebruiker deze verstrekte, het account zou stelen.<\/p>\n

Apps van alternatieve winkels<\/h3>\n

Ten slotte blijven veel van dergelijke apps beschikbaar in alternatieve winkels, zelfs nadat Google ze uit zijn winkel heeft verwijderd. Dat is geen verrassing; zelfs Google, met veel meer middelen dan het gemiddelde bedrijf, kan niet altijd tijdig het grote volume van bestaande apps modereren. Toch hebben wij besloten dit aspect hier te vermelden, omdat het duidelijk aantoont dat alternatieve winkels onveilig zijn om te gebruiken. Als u toch van plan bent om ze om wat voor reden dan ook te gebruiken, installeer dan op zijn minst een betrouwbaar mobiel antivirusprogramma<\/a>\u00a0om u tegen gevaarlijke apps te beschermen.<\/p>\n

Dat gezegd hebbende, zoals we in dit verhaal hebben kunnen zien, net als in de vele<\/a> andere<\/a> berichten<\/a> over malware die<\/a> de offici\u00eble Google-appstore binnenkomt<\/a>, bent u ook als u alleen via Google Play downloadt beter af met een antivirusoplossing op uw smartphone.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

We hebben op Google Play nog meer Minecraft-modpacks en een hulpprogramma voor bestandsherstel gevonden, die in werkelijkheid schadelijke adware bevatten.<\/p>\n","protected":false},"author":2624,"featured_media":27179,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[28],"tags":[422,31,430,660,539,943,944],"class_list":{"0":"post-27178","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-adware","9":"tag-android","10":"tag-applicaties","11":"tag-gamers","12":"tag-google-play","13":"tag-minecraft","14":"tag-mods"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/minecraft-mod-adware-google-play-revisited\/27178\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/minecraft-mod-adware-google-play-revisited\/22950\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/18442\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/9182\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/24893\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/minecraft-mod-adware-google-play-revisited\/22887\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/22106\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play-revisited\/25465\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/minecraft-mod-adware-google-play-revisited\/24914\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/minecraft-mod-adware-google-play-revisited\/30892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/minecraft-mod-adware-google-play-revisited\/9732\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/40202\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/minecraft-mod-adware-google-play-revisited\/17111\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/minecraft-mod-adware-google-play-revisited\/17614\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/minecraft-mod-adware-google-play-revisited\/14913\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/minecraft-mod-adware-google-play-revisited\/26922\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/minecraft-mod-adware-google-play-revisited\/24008\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/minecraft-mod-adware-google-play-revisited\/29327\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/minecraft-mod-adware-google-play-revisited\/29131\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/gamers\/","name":"gamers"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2624"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=27178"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27178\/revisions"}],"predecessor-version":[{"id":27184,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27178\/revisions\/27184"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/27179"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=27178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=27178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=27178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}