{"id":22106,"date":"2021-06-10T08:07:26","date_gmt":"2021-06-10T14:07:26","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22106"},"modified":"2021-06-10T08:07:26","modified_gmt":"2021-06-10T14:07:26","slug":"minecraft-mod-adware-google-play-revisited","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/22106\/","title":{"rendered":"Malware en mods para Minecraft: la historia contin\u00faa"},"content":{"rendered":"<p>Si bien <a href=\"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play\/20612\/\" target=\"_blank\" rel=\"noopener\">recientemente reportamos haber encontrado 20 aplicaciones en Google Play<\/a> que se hac\u00edan pasar por <em>modpacks<\/em> para <em>Minecraft<\/em> \u2014la aplicaci\u00f3n m\u00e1s popular con m\u00e1s de un mill\u00f3n de descargas\u2014 el <em>malware<\/em> que se aprovecha de <em>Minecraft <\/em>sigue apareciendo en Google Play. En lugar de cumplir con lo prometido, las aplicaciones convirtieron los smartphones y tablets en herramientas publicitarias en extremo invasivas.<\/p>\n<p>Para que quede claro, las aplicaciones eran completamente in\u00fatiles desde la perspectiva del usuario. En cambio, despu\u00e9s del primer uso, ocultaban sus \u00edconos y abr\u00edan con frecuencia el navegador para mostrar anuncios. Tambi\u00e9n reproduc\u00edan videos de YouTube, abr\u00edan p\u00e1ginas de aplicaciones de Google Play, y m\u00e1s. La versi\u00f3n que analizamos, por ejemplo, abr\u00eda el navegador cada dos minutos, por lo que el dispositivo era pr\u00e1cticamente inutilizable. Lo que m\u00e1s preocupaba es que era muy dif\u00edcil para el usuario averiguar qu\u00e9 estaba pasando, qu\u00e9 aplicaci\u00f3n era responsable de los problemas y c\u00f3mo detenerla.<\/p>\n<p>Notificamos a Google este hallazgo, y r\u00e1pidamente eliminaron estas aplicaciones maliciosas de la tienda.<\/p>\n<h2>Versiones nuevas de las aplicaciones maliciosas<\/h2>\n<p>Borrar las aplicaciones de la tienda de Google no necesariamente elimina el <em>malware<\/em>. Se ha visto que sus creadores cargan versiones nuevas, con algunas cuantas modificaciones, nombres diferentes y desde cuentas de otros desarrolladores.<\/p>\n<p>El troyano de VK Music es un ejemplo de este ciclo. Este troyano rob\u00f3 cuentas de los usuarios de VK y, a pesar de que se report\u00f3, se col\u00f3 en Google Play <a href=\"https:\/\/securelist.com\/stealing-to-the-sound-of-music\/72458\/\" target=\"_blank\" rel=\"noopener\">durante varios<\/a> <a href=\"https:\/\/securelist.com\/still-stealing\/83343\/\" target=\"_blank\" rel=\"noopener\">a\u00f1os<\/a>.<\/p>\n<p>En vista de esto, revisamos el caso de los <em>modpacks<\/em> da\u00f1inos para Minecraft en Google Play para averiguar si reportarlos ayud\u00f3 en algo. Para esto, hicimos una b\u00fasqueda de aplicaciones similares. Y encontramos algunas.<\/p>\n<h3>Versiones nuevas y mejoradas<\/h3>\n<p>En primer lugar, encontramos m\u00faltiples aplicaciones con el planteamiento ya mencionado, pero con algunas mejoras. En un escenario t\u00edpico, las aplicaciones aceptan comandos de mensajes push de los atacantes para mostrar anuncios en pantalla completa (sin necesidad de la interacci\u00f3n del usuario). Las aplicaciones tambi\u00e9n est\u00e1n dise\u00f1adas para descargar un m\u00f3dulo adicional. Una vez que han descargado el m\u00f3dulo, se habilitan m\u00e1s funciones, lo que permite que las aplicaciones oculten sus \u00edconos, controlen el navegador, reproduzcan videos de YouTube, abran p\u00e1ginas de aplicaciones de Google Play, etc.<\/p>\n<p>En esta ocasi\u00f3n, la lista de aplicaciones comprometidas incluy\u00f3, adem\u00e1s de mods para Minecraft, una herramienta de recuperaci\u00f3n de archivos llamada <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.lutoreteam.filerecovery.recoverdeletedfiles\" target=\"_blank\" rel=\"noopener nofollow\">File Recovery \u2013 Recover Deleted Files<\/a>. La versi\u00f3n 1.1.0, disponible en Google Play hasta febrero de 2021, ten\u00eda una carga \u00fatil maliciosa. Esa versi\u00f3n ya fue eliminada, y la versi\u00f3n 1.1.1, que est\u00e1 en Google Play, es segura.<\/p>\n<h3>Versi\u00f3n simplificada con suscripci\u00f3n de paga en Google Play<\/h3>\n<p>En segundo lugar, encontramos un par de <em>modpacks<\/em> para Minecraft con la funcionalidad b\u00e1sica, una configuraci\u00f3n en la cual las aplicaciones en ocasiones muestran anuncios en pantalla completa, incluso si la aplicaci\u00f3n est\u00e1 inactiva, pero no pueden ocultar su \u00edcono o controlar el navegador, YouTube o Google Play. Para obtener m\u00e1s recursos, se utiliza la funci\u00f3n de compras dentro de la app.<\/p>\n<div id=\"attachment_22110\" style=\"width: 1470px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-22110\" class=\"wp-image-22110 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2021\/06\/09160404\/minecraft-mod-adware-google-play-revisited-screen-1.jpg\" alt=\"Uno de los modpacks maliciosos para Minecraft en Google Play\" width=\"1460\" height=\"1200\"><p id=\"caption-attachment-22110\" class=\"wp-caption-text\">Uno de los modpacks maliciosos para Minecraft en Google Play<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Cabe destacar que una de las aplicaciones ahora est\u00e1 disponible en la tienda como una \u201cversi\u00f3n\u201d b\u00e1sica y con compras dentro de la app habilitadas, mientras que hace algunos meses depend\u00eda del m\u00f3dulo descargable adicional. A partir de esta informaci\u00f3n, concluimos que sus propietarios siguen experimentando con las opciones de pago.<\/p>\n<h3>Versi\u00f3n que roba cuentas de Facebook<\/h3>\n<p>En tercer lugar, encontramos varias aplicaciones m\u00e1s cuya funcionalidad maliciosa central no era la ya mencionada. Hace un tiempo, por ejemplo, Google Play ten\u00eda disponible una aplicaci\u00f3n de red publicitaria falsa, Madgicx, y una aplicaci\u00f3n de gesti\u00f3n de anuncios de TikTok falsa. Ambas aplicaciones ped\u00edan con insistencia los datos de la cuenta de Facebook del usuario; y, una vez ingresados, se robaban la cuenta.<\/p>\n<h3>Aplicaciones de tiendas alternativas<\/h3>\n<p>Finalmente, muchas de estas aplicaciones siguen disponibles en tiendas alternativas despu\u00e9s de que Google las elimin\u00f3 de la suya. Lo cual no causa sorpresa, ya que ni el mismo Google, aunque tiene muchos m\u00e1s recursos que una empresa promedio, puede siempre moderar oportunamente el gran volumen de aplicaciones existentes. Pero lo mencionamos como evidencia de que las tiendas alternativas no son seguras. Si a\u00fan piensas utilizarlas por el motivo que sea, al menos instala un <a href=\"https:\/\/latam.kaspersky.com\/mobile-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____ee0e39f679aecb08\" target=\"_blank\" rel=\"noopener\">antivirus de confianza para m\u00f3vil<\/a> a fin de protegerte contra aplicaciones peligrosas.<\/p>\n<p>Dicho esto, como nos ense\u00f1a este y <a href=\"https:\/\/latam.kaspersky.com\/blog\/dresscode-android-trojan\/7819\/\" target=\"_blank\" rel=\"noopener\">muchos<\/a> <a href=\"https:\/\/latam.kaspersky.com\/blog\/pokemon-go-malware\/7671\/\" target=\"_blank\" rel=\"noopener\">otros<\/a> <a href=\"https:\/\/latam.kaspersky.com\/blog\/google-play-hidden-miners\/12715\/\" target=\"_blank\" rel=\"noopener\">episodios<\/a> de <a href=\"https:\/\/latam.kaspersky.com\/blog\/phantomlance-android-backdoor-trojan\/18620\/\" target=\"_blank\" rel=\"noopener\">malware que se cuelan a<\/a> <a href=\"https:\/\/latam.kaspersky.com\/blog\/camscanner-malicious-android-app\/15241\/\" target=\"_blank\" rel=\"noopener\">la tienda oficial de Google<\/a>, incluso si descargas tus aplicaciones solo de Google Play, te conviene tener un antivirus en tu smartphone.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"kisa-banner\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Encontramos m\u00e1s modpacks y una herramienta de recuperaci\u00f3n de archivos disponibles en Google Play y que ocultan adware malicioso<\/p>\n","protected":false},"author":2624,"featured_media":22107,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[1259,2163,80,1045,739,4610,4611],"class_list":{"0":"post-22106","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-adware","9":"tag-android","10":"tag-aplicaciones","11":"tag-gamers","12":"tag-google-play","13":"tag-minecraft","14":"tag-mods"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/22106\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/minecraft-mod-adware-google-play-revisited\/22950\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/18442\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/9182\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/24893\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/minecraft-mod-adware-google-play-revisited\/22887\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play-revisited\/25465\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/minecraft-mod-adware-google-play-revisited\/24914\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/minecraft-mod-adware-google-play-revisited\/30892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/minecraft-mod-adware-google-play-revisited\/9732\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/40202\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/minecraft-mod-adware-google-play-revisited\/17111\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/minecraft-mod-adware-google-play-revisited\/17614\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/minecraft-mod-adware-google-play-revisited\/14913\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/minecraft-mod-adware-google-play-revisited\/26922\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/minecraft-mod-adware-google-play-revisited\/27178\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/minecraft-mod-adware-google-play-revisited\/24008\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/minecraft-mod-adware-google-play-revisited\/29327\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/minecraft-mod-adware-google-play-revisited\/29131\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/gamers\/","name":"Gamers"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2624"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22106"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22106\/revisions"}],"predecessor-version":[{"id":22112,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22106\/revisions\/22112"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22107"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}