Зловред вместо модов для Minecraft: продолжение истории

В размещенных в Google Play модпаке для Minecraft и утилите для восстановления удаленных файлов скрывался вредоносный рекламный модуль.

В размещенных в Google Play модпаке для Minecraft и утилите для восстановления удаленных файлов скрывался вредоносный рекламный модуль

Поддельные моды для Minecraft: предыстория

Некоторое время назад мы обнаружили в Google Play более 20 приложений, которые позиционировались как каталоги модов для Minecraft, но на самом деле превращали смартфон или планшет установившего их пользователя в инструмент для крайне навязчивого показа рекламы. Причем у самого популярного из найденных приложений было более миллиона загрузок.

Эти приложения не содержали в себе никаких модов, с точки зрения пользователя они не делали вообще ничего полезного. Вместо этого после первого запуска они прятали свою иконку и внезапно начинали периодически запускать браузер, открывая рекламные страницы. Также по команде своих создателей приложения могли показывать определенные ролики с YouTube, страницы приложений в Google Play и так далее.

Та версия, которую мы изучили, запускала браузер каждые две минуты, что, конечно, очень сильно мешало пользоваться смартфоном. Особенно неприятно это потому, что хозяину аппарата было крайне сложно догадаться, из-за чего все это происходит и что именно нужно предпринять, чтобы телефон перестал себя так вести.

Мы сообщили Google о своей находке, и неприятные приложения достаточно оперативно были удалены из магазина.

Новые версии вредоносных приложений

Разумеется, это далеко не первый случай присутствия целых массивов вредоносных приложений в Google Play. Причем далеко не всегда удаление приложений из магазина приводит к победе над зловредом: его создатели просто загружают в магазин новые, слегка модифицированные версии — под другими названиями и под другими аккаунтами разработчика.

Наиболее показательным примером может служить история трояна «Музыка ВКонтакте», воровавшего аккаунты пользователей VK. Его не могли искоренить из официального магазина приложений Google на протяжении нескольких лет.

Помня об этом, мы решили посмотреть, помогло ли удаление вредоносных модпаков для Minecraft из Google Play решить проблему. Для этого мы поискали похожие приложения — и нам удалось их обнаружить.

Новые, доработанные версии

Во-первых, мы нашли несколько приложений, которые в базовом сценарии по команде злоумышленников через пуш-сообщение показывают полноэкранную рекламу (причем приложение в этот момент не должно быть запущено). Также эти приложения могут загружать дополнительный модуль. При успешной загрузке этого модуля они получают возможность прятать иконку, внезапно открывать браузер, показывать ролики YouTube, открывать страницы приложений в Google Play и так далее.

Помимо модов для Minecraft, в этот раз в число опасных приложений попала утилита для восстановления удаленных файлов на смартфоне File Recovery — Recover Deleted Files — в версии 1.1.0, которая была доступна для загрузки в Google Play до февраля 2021 года, была вредоносная нагрузка. На данный момент разработчики ее убрали, и версия 1.1.1, которая размещена в Google Play, является безопасной.

Упрощенная версия с платной подпиской в Google Play

Во-вторых, мы обнаружили два модпака для Minecraft с базовой функциональностью: в этом варианте приложения периодически показывают полноэкранную рекламу, в том числе при незапущенном приложении, но не умеют прятать иконку и запускать браузер, YouTube или Google Play. А для дополнительной монетизации используется функция «покупки в приложении».

Страница в Google Play одного из вредоносных модпаков для Minecraft с "базовой" функциональностью

Страница в Google Play одного из вредоносных модпаков для Minecraft с «базовой» функциональностью

Что интересно, одно из найденных приложений на данный момент доступно в магазине в «базовой» версии и с покупкой в приложении, тогда как парой месяцев раньше оно загружало дополнительный модуль. Из этого можно сделать вывод, что создатели этих приложений продолжают экспериментировать с разными вариантами монетизации и могут заменять версии, когда одни схемы извлечения прибыли кажутся им более выгодными, чем другие.

Версия, ворующая аккаунты Facebook

В-третьих, нашлось еще несколько приложений, в которых описанная вредоносная функциональность не была основной. Некоторое время назад в Google Play были доступны поддельное приложение рекламной сети Madgicx и поддельный же клиент для размещения рекламы в TikTok, которые требовали ввести учетные данные Facebook и, если пользователь это делал, воровали аккаунт.

Приложения в альтернативных магазинах

Наконец, в-четвертых, даже после удаления приложений из Google Play многие из них продолжают оставаться доступными в альтернативных магазинах. Это, в принципе, не очень удивительно: если уж даже Google не всегда оперативно справляется с модерацией огромного количества существующих приложений, то чего ожидать от администраторов других площадок, не располагающих ресурсами огромной корпорации!

Однако мы все же решили упомянуть о данном моменте, поскольку он служит наглядным свидетельством небезопасности использования альтернативных магазинов. Если уж вы по тем или иным причинам намерены пользоваться таким, то хотя бы установите надежный мобильный антивирус, который защитит от опасных приложений.

Впрочем, как показывает эта история — и множество других эпизодов, когда зловреды проникали в официальный магазин Google, — даже если вы загружаете приложения исключительно из Google Play, установить на смартфон антивирус все равно стоит.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.