Malware en mods para Minecraft: la historia continúa

Encontramos más modpacks y una herramienta de recuperación de archivos disponibles en Google Play y que ocultan adware malicioso

Si bien recientemente reportamos haber encontrado 20 aplicaciones en Google Play que se hacían pasar por modpacks para Minecraft —la aplicación más popular con más de un millón de descargas— el malware que se aprovecha de Minecraft sigue apareciendo en Google Play. En lugar de cumplir con lo prometido, las aplicaciones convirtieron los smartphones y tablets en herramientas publicitarias en extremo invasivas.

Para que quede claro, las aplicaciones eran completamente inútiles desde la perspectiva del usuario. En cambio, después del primer uso, ocultaban sus íconos y abrían con frecuencia el navegador para mostrar anuncios. También reproducían videos de YouTube, abrían páginas de aplicaciones de Google Play, y más. La versión que analizamos, por ejemplo, abría el navegador cada dos minutos, por lo que el dispositivo era prácticamente inutilizable. Lo que más preocupaba es que era muy difícil para el usuario averiguar qué estaba pasando, qué aplicación era responsable de los problemas y cómo detenerla.

Notificamos a Google este hallazgo, y rápidamente eliminaron estas aplicaciones maliciosas de la tienda.

Versiones nuevas de las aplicaciones maliciosas

Borrar las aplicaciones de la tienda de Google no necesariamente elimina el malware. Se ha visto que sus creadores cargan versiones nuevas, con algunas cuantas modificaciones, nombres diferentes y desde cuentas de otros desarrolladores.

El troyano de VK Music es un ejemplo de este ciclo. Este troyano robó cuentas de los usuarios de VK y, a pesar de que se reportó, se coló en Google Play durante varios años.

En vista de esto, revisamos el caso de los modpacks dañinos para Minecraft en Google Play para averiguar si reportarlos ayudó en algo. Para esto, hicimos una búsqueda de aplicaciones similares. Y encontramos algunas.

Versiones nuevas y mejoradas

En primer lugar, encontramos múltiples aplicaciones con el planteamiento ya mencionado, pero con algunas mejoras. En un escenario típico, las aplicaciones aceptan comandos de mensajes push de los atacantes para mostrar anuncios en pantalla completa (sin necesidad de la interacción del usuario). Las aplicaciones también están diseñadas para descargar un módulo adicional. Una vez que han descargado el módulo, se habilitan más funciones, lo que permite que las aplicaciones oculten sus íconos, controlen el navegador, reproduzcan videos de YouTube, abran páginas de aplicaciones de Google Play, etc.

En esta ocasión, la lista de aplicaciones comprometidas incluyó, además de mods para Minecraft, una herramienta de recuperación de archivos llamada File Recovery – Recover Deleted Files. La versión 1.1.0, disponible en Google Play hasta febrero de 2021, tenía una carga útil maliciosa. Esa versión ya fue eliminada, y la versión 1.1.1, que está en Google Play, es segura.

Versión simplificada con suscripción de paga en Google Play

En segundo lugar, encontramos un par de modpacks para Minecraft con la funcionalidad básica, una configuración en la cual las aplicaciones en ocasiones muestran anuncios en pantalla completa, incluso si la aplicación está inactiva, pero no pueden ocultar su ícono o controlar el navegador, YouTube o Google Play. Para obtener más recursos, se utiliza la función de compras dentro de la app.

Uno de los modpacks maliciosos para Minecraft en Google Play

Uno de los modpacks maliciosos para Minecraft en Google Play

 

Cabe destacar que una de las aplicaciones ahora está disponible en la tienda como una “versión” básica y con compras dentro de la app habilitadas, mientras que hace algunos meses dependía del módulo descargable adicional. A partir de esta información, concluimos que sus propietarios siguen experimentando con las opciones de pago.

Versión que roba cuentas de Facebook

En tercer lugar, encontramos varias aplicaciones más cuya funcionalidad maliciosa central no era la ya mencionada. Hace un tiempo, por ejemplo, Google Play tenía disponible una aplicación de red publicitaria falsa, Madgicx, y una aplicación de gestión de anuncios de TikTok falsa. Ambas aplicaciones pedían con insistencia los datos de la cuenta de Facebook del usuario; y, una vez ingresados, se robaban la cuenta.

Aplicaciones de tiendas alternativas

Finalmente, muchas de estas aplicaciones siguen disponibles en tiendas alternativas después de que Google las eliminó de la suya. Lo cual no causa sorpresa, ya que ni el mismo Google, aunque tiene muchos más recursos que una empresa promedio, puede siempre moderar oportunamente el gran volumen de aplicaciones existentes. Pero lo mencionamos como evidencia de que las tiendas alternativas no son seguras. Si aún piensas utilizarlas por el motivo que sea, al menos instala un antivirus de confianza para móvil a fin de protegerte contra aplicaciones peligrosas.

Dicho esto, como nos enseña este y muchos otros episodios de malware que se cuelan a la tienda oficial de Google, incluso si descargas tus aplicaciones solo de Google Play, te conviene tener un antivirus en tu smartphone.

Consejos