Malware nelle mod di Minecraft: la storia continua

Abbiamo trovato altri modpack di Minecraft e una utility di recupero file disponibili su Google Play che in realtà nascondevano un adware dannoso.

Sebbene di recente avevamo già individuato 20 applicazioni su Google Play che si facevano passare per modpack di Minecraft (la più popolare con più di un milione di download), i malware a tema Minecraft continuano a spuntare su Google Play come funghi. Invece di fare quello che pubblicizzano, le applicazioni hanno trasformato gli smartphone e i tablet degli utenti in strumenti pubblicitari estremamente invadenti.

Per essere chiari, le app si sono rivelate totalmente inutili per l’utente. Dopo la prima esecuzione, nascondevano le loro icone e aprivano ripetutamente il browser offrendo annunci flash. Inoltre, potevano anche riprodurre video da YouTube, aprire pagine di app su Google Play e altro ancora. La versione che abbiamo analizzato, per esempio, apriva il browser ogni due minuti, rendendo il dispositivo essenzialmente inutilizzabile. La cosa era particolarmente preoccupante, perché era estremamente difficile per un utente capire cosa stesse succedendo, quale app fosse responsabile dei problemi e come fermarla.

Abbiamo notificato a Google quanto scoperto e le app dannose sono state rapidamente rimosse dallo store.

Nuove versioni di app dannose

La cancellazione dall’app store di Google non necessariamente sconfigge i malware; in genere, i loro creatori caricano semplicemente nuove versioni, leggermente modificate, usando nomi diversi e da diversi account di sviluppatori.

Un esempio di questo meccanismo è il Trojan VK Music, che ha rubato gli account degli utenti di VKontakte e, nonostante sia stato segnalato, ha continuato ad apparire su Google Play per diversi anni.

Memori di questo, abbiamo rivisto il caso dei modpack dannosi di Minecraft su Google Play per scoprire se la nostra segnalazione è stata utile. Per questo motivo, abbiamo avviato una ricerca di app simili e ne abbiamo trovate alcune.

Versioni nuove e migliorate

In primo luogo, abbiamo trovato diverse app che utilizzano la stessa tecnica ma con alcuni miglioramenti. In generale, queste app accettano i comandi dai messaggi push dei cybercriminali per gli annunci a tutto schermo (non è richiesta nessuna interazione da parte dell’utente). Le app sono progettate per scaricare anche un modulo extra. Dopo aver scaricato il modulo, diventano disponibili più funzionalità, che consentono alle app di nascondere le loro icone, aprire il browser, riprodurre video di YouTube, aprire pagine di app su Google Play e così via.

Questa volta l’elenco delle app compromesse includeva, oltre alle mod di Minecraft, una utility di recupero file chiamata File Recovery – Recover Deleted Files. La versione 1.1.0, disponibile su Google Play fino a febbraio 2021 conteneva un payload dannoso. Questa versione è stata rimossa, e la versione 1.1.1, ora su Google Play, è sicura.

Versione semplificata con abbonamento a pagamento su Google Play

Successivamente, abbiamo trovato un paio di modpack di Minecraft con funzionalità di base, dove le applicazioni mostrano occasionalmente annunci a schermo intero, anche con l’app inattiva, ma non sono in grado di nascondere le proprie icone o eseguire il browser, aprire YouTube o Google Play. Per ottenere soldi extra, viene utilizzata la funzionalità degli acquisti in-app.

Uno dei modpack di Minecraft dannosi su Google Play

È interessante notare che una delle app è ora disponibile nello store come versione “base” e con acquisti in-app abilitati, mentre un paio di mesi fa prevedeva il modulo extra scaricabile. Da questo si conclude che i loro proprietari stanno continuando a sperimentare opzioni per guadagnare di più.

Versione ruba-account di Facebook

In terzo luogo, abbiamo trovato altre app dove la funzionalità dannosa descritta sopra non era il problema principale. Un po’ di tempo fa, per esempio, su Google Play si poteva trovare una falsa app della rete pubblicitaria Madgicx e una falsa app di gestione degli annunci su TikTok che richiedeva insistentemente i dati dell’account Facebook dell’utente e, se l’utente li forniva, l’account veniva rubato.

App da store alternativi

Infine, molte di queste app rimangono disponibili in store alternativi anche dopo la rimozione da parte di Google. Il che non è una sorpresa; anche Google, con molte più risorse di una normale compagnia, non può sempre gestire prontamente il volume importante di applicazioni esistenti. Eppure abbiamo deciso di menzionarlo perché è una chiara prova che gli store alternativi non sono sicuri. Se avete ancora intenzione di usarli per qualche motivo, almeno installate un antivirus affidabile per dispositivi mobili che vi protegga dalle app pericolose.

Detto questo, come si può intuire da questa storia e da molti altri episodi di malware entrati nell’app store ufficiale di Google, anche se scaricate le vostre app solo da Google Play, installare un antivirus sul vostro smartphone è sempre un’ottima decisione.

Consigli