Minecraft-Spieler waren unlängst 87 gefälschten Minecraft Mods im Google Play Store ausgesetzt. Die Apps können in zwei Kategorien unterschieden werden. Zum einen sind da die Werbung einblendenden Downloader, die von ESET als Android/TrojanDownloader.Agent.JL erkannt werden. Zum anderen gibt es Fake-Anwendungen, welche die User auf betrügerische Webseiten umleiten und ESET als Android/FakeApp.FG enttarnte.

Insgesamt erzielten die 87 Fake-Apps eine Reichweite von 990.000 Installationen, bevor sie am 16. und 21. März dem Play Store Sicherheitsteam gemeldet wurden.

  1. Werbung anzeigender Downloader

Minecraft

Abbildung 1 - Werbung einblendender Downloader als Minecraft Mod im Google Play Store getarnt.

Zur ersten Kategorie gehören 14 Minecraft Mods mit etwa 80.000 Installationen. Ähnlich wie die Anfang März analysierte Android-Fake-App beinhaltet auch ein Teil der Minecraft Mods eine zusätzliche Komponente, um Out-of-App-Werbeanzeigen einzublenden.

Im jetzigen Fall fungiert die Komponente als Modul für die Installation der "Mods". Allerdings ist dieses Modul nicht Teil der eigentlichen Anwendung, sondern muss separat durch die Fake-App heruntergeladen und durch den User installiert werden.

Die Mod-Apps besitzen keine wirkliche Funktionalität. Sie blenden bloß aggressive Werbeanzeigen ein. Das kommt bei den Usern nicht sehr gut an, wie die vielen negativen Bewertungen erkennen lassen.

Minecraft

Abbildung 2 - Schlechte App-Bewertung bei Google Play

Wie funktionieren die Downloader-Mods?

Nach dem Starten der Fake-App werden sofort Geräteadministratorrechte eingefordert. Mit der Bestätigung wechselt der Bildschirm und ein “INSTALL MOD”-Button wird eingeblendet. Gleichzeitig informiert eine Push-Benachrichtigung den Android-Nutzer darüber, dass ein spezieller „Block Launcher“ notwendig sei, um mit der Installation fortzufahren.

Nach dem Betätigen des Buttons wird der Benutzer dazu aufgefordert, das Zusatzmodul "Block Launcher Pro" zu installieren. Damit versucht die App sich weitere Berechtigungen zu erschleichen. Der während der Installation heruntergeladene Payload wird von ESET als Android/Hiddad.DA erkannt.

Das Installieren des Zusatzmoduls führt den User allerdings in eine Sackgasse. Eingeblendet wird bloß ein statischer Minecraft-Hintergrund ohne klickbare Elemente. Die einzige und tatsächliche Funktion der App und des Moduls besteht darin, Werbung anzuzeigen und den Android-Nutzer in seinem normalen Umgang mit dem Smartphone zu stören.

Minecraft

Abbildung 3 - Out-of-App-Werbung, die sich auf dem Gerät des Opfers zeigt

Interessanterweise ist dieser Werbung anzeigende Downloader eine weiterentwickelte Version einer App, die ursprünglich im Februar im Google Play hochgeladen wurde. Die anfängliche Version verwendete eine ähnliche Schnittstelle und verlangte auch Geräteadministratorrechte. Allerdings hatte diese Version keine Download-Funktionalität und, im Gegensatz zum hiesigen Downloader, versorgte die erste Version die Benutzer tatsächlich mit echten Minecraft Mods.

Ein Resultat dieser allgemeinen Entwicklung ist die Tatsache, dass durch Downloader jede vorstellbare Malware zusätzlich auf das Gerät des Nutzers heruntergeladen werden kann. Das Einblenden aggressiver Werbeanzeigen ist eine vergleichsweise harmlose Angelegenheit. Tausende Android-Nutzer könnten durch einen anderen Downloader auch dazu verleitet werden, sich gefährlicheren Bedrohungen auszusetzen. Für Malware-Entwickler wird das der nächste logische Schritt sein.

Videoaufnahme von der Installation


  1. Fake-Apps leiten User zu betrügerischen Webseiten

Die restlichen 73 der enttarnten Anwendungen verwenden einen alten Trick, um Benutzer zu betrügerischen Webseiten umzuleiten. Die Apps, die ESET als Android/FakeApp.FG erkennt, wurden von Januar bis März zu Google Play hinzugefügt und erreichten bis zu 910.000 Installationen, bevor ESET sie dem Play Store Sicherheitsteam meldete.

Minecraft

Abbildung 4 - Scam-Apps als Minecraft Mods bei Google Play getarnt

Wie funktionieren die umleitenden Fake-Apps?

Einmal gestartet, zeigen die Apps einen Bildschirm mit einem Download-Button. Mit dem Betätigen der Schaltfläche werden aber keine Mods heruntergeladen. Vielmehr öffnet sich der Browser des Android-Users mit einer Webseite, auf die umgeleitet wurde. Die Webseiten zeigen alle Arten von penetranten Inhalten - von Anzeigen zu Umfragen, kostenlosen Coupon-Angeboten, Jackpot-Gewinnen, Pornos, gefälschten Updates und gefälschten Viruswarnungen, die mit der Angst der Nutzer spielen. Die Nachrichten werden in verschiedenen Sprachen ausgegeben, basierend auf der IP-Adresse der Opfer.

Minecraft

Abbildung 5 - Fake-Download-Bildschirm nach dem Start

Minecraft

Abbildung 6 - Betrügerische Nachrichten erscheinen nach dem Klick auf den Download-Button

Minecraft

Abbildung 7 - Lokalisierte Scam-Einblendungen

Wie kann ich mich schützen?

Wer Mods für Minecraft herunterladen wollte, kann womöglich Opfer der obenstehenden Bedrohungen werden.

Die umleitenden Fake-Apps sind schnell zu enttarnen. Offensichtlich dienen sie nur dazu, den User auf betrügerische Seiten umzuleiten.

In unserem I. Fall haben wir festgestellt, dass auch diese Anwendungen keinen Nutzen bringen. Sie stören den normalen Gebrauch des Smartphones durch aggressive Werbeeinblendungen. Allerdings besitzt diese Bedrohung die Möglichkeit, zusätzliche Malaware herunterzuladen.  In unserem Beispiel handelt es sich dabei bloß um Werbung. Denkbar wären aber auch weitaus gefährlichere Programme. Malware-Entwickler sind sich der technischen Möglichkeiten durchaus bewusst und setzen Downloader in Fake-Apps gezielt für die Malware-Verbreitung ein.

Android-User sollten deswegen unbedingt eine verlässliche Mobile Security Lösung auf dem Smartphone installiert haben, damit Bedrohungen frühzeitig erkannt und gebannt werden können.

Im Folgenden erklären wir, wie man die Bedrohungen auf manueller Weise entfernt.

I. Fall: Werbung anzeigender Downloader

Zuerst müssen der App und der zusätzlichen heruntergeladenen Software die Geräteadministratorrechte entzogen werden. Dazu navigieren wir unter Einstellungen zu Sicherheit > Geräteadministratoren (wie in Abb. 8 zu sehen). Danach sind die Anwendungen unter Einstellungen > Anwendungsmanager ganz einfach zu entfernen.

Abbildung 8 - Downloader und Payload unter aktiven Geräteadministratoren zu finden

Abbildung 9 - Downloader und Payload im Anwendungsmanager

II. Fall: Scam-App

Die Deinstallation der Scam-App ist ein Schritt einfacher. Diese kann leicht im Anwendungsmanager entfernt werden.

Abbildung 10 - Fake-App im Anwendungsmanager

Niemand muss auf Fake-Apps hereinfallen. Wir empfehlen ausschließlich offizielle App-Märkte für den Download von Anwendungen. Besondere Vorsicht ist bei solchen Apps geboten, die zusätzliche Software herunterladen möchte.

Vor dem Beziehen einer Anwendung sollten immer auch die Bewertungen angesehen werden. Hieraus ergibt sich meistens ein gutes Bild, wie zuverlässig und vertrauenswürdig die App ist.

Stichproben

Android/TrojanDownloader.Agent.JL: 

Package name Installs Hash
com.mermaid.mod.for.minecraft.mod 10,000 - 50,000 44D5834E7D287D5C663D494A6AD4ACF8517F9847
com.mod5.from.mcpe.mod 5,000 - 10,000 1501F9EAD8A14601C4C2FF50F56AB6C3D3AC768B
com.badgraftds.little.kelly.mod 1,000 - 5,000 168CBA98F6D0EABCBAA107C40EE66562B7CD5B99
com.mod.tntntjhh.pony.mcpe.mod 1,000 - 5,000 5BBC31B26FDA3CC7E1502AA9C2937EED6F2316E1
com.mod.cvcvv.mermaid.mod 1,000 - 5,000 F5B7D12D508E47642492C28DA1A2C51DD99CB0BB
com.wkrtjjt.little.yandere.mod 1,000 - 5,000 9541A6F0BD4A512C6DB174BCEBFFF8B480866158
com.lklljhmhg.little.carry.mod 500 - 1,000 5D4FE5B908D03B7E8C4E072EC1672DE7386796E5
com.mod.ffvbbn.backpack.mod 500 - 1,000 FC4EC301026080957D50213C1669990FE1DB283A
com.mod.efefe.oasis.werr.mod 100 - 500 B6FD16C0783CB01718DAE78117AA9199CB925C0B
com.mod.rmsl.battle.mcpe.mod 100 - 500 CF39574A3ECDC22170333D665EDBFD2248870180
com.mod.fdgf.little.girlfriend.mod 100 - 500 B4AF6AF0A78F36EB1EEB407D6392C940D4AE6BC3
com.mod.rttyu.undertale.mod 100 - 500 0C47A496A56AF3226FB3CE5EB09CB4F34FD0FE8B
com.retmff.mod.little.mcpe.mod 100 - 500 225C5590F1EB70C41AA2B5F18E282E6090643E93
com.jL7PtX.mod.little.Boyfriend.mod 100 - 500 00E4B4182EBA6AD39E0338FE67C5E921D75A63BD
app.webl.instal.com.webapp B305CE85D0972BD0EB805592275A420314972416
 

Android/FakeApp.FG:

Package name Installs Hash
forminecraft.school 50,000 - 100,000 3080E692ECC0BB8CE7007A438B8B4AF0BE796BBB
studio.mcpemods.starwarsforforminecraftpe 10,000 - 50,000 FC5C29A915CA8559DDD8704A38C050E38F7DEFAD
studio.mcpemods.mapbikinibottom 10,000 - 50,000 39BABDB2020A0B1D4B8E70A07FB3ECA730FA9EC8
devlabsolaris.maphelloneighborformcpe 10,000 - 50,000 AF89CAF6F8B5674746CFFD71EA59114034A50A0B
devlabsolaris.fnafmodforminecraft 10,000 - 50,000 0A5B5D6D1B4B5E2FFF56EAE8984D25C23F6B7326
su.artmik.gta5forminecraftpe 10,000 - 50,000 2C8A61902B42F9DD210D93818571ADF9D7FC4DC0
devlabsolaris.herobrinemodforminecraft 5,000 - 10,000 7A78030E4B2B295B3CEB897546390A7F4339B3F0
modsforminers.school 5,000 - 10,000 88471AA34BDF29A46BD362A8844B8C007B99E720
devlabsolaris.horsemodforminecraft 1,000 - 5,000 3EC7FA4660455933F100AEB35E1675834EC5E1DC
devlabsolaris.dragonsmodforminecraft 1,000 - 5,000 39D71C30E01C553B91E97FF08F8B78CA00F04CB0
devlabsolaris.pixelmonminecraftmod 1,000 - 5,000 816D1A232B7DD39EA6877FC2004BAA9EFFF174A1
devlabsolaris.luckyblockmodforminecraft 1,000 - 5,000 FEDD3602EAF5111B8A41FE1F093B6B75F5B9FB7D
devlabsolaris.superherominecraftmod 1,000 - 5,000 C3702B121A9CA3B93E63D0E8A15575A169C0E7F9
devlabsolaris.tornadomodforminecraft 1,000 - 5,000 9A97415E1D405B50087DE7E34213A1F40D58C33C
devlabsolaris.gtamodforminecraft 1,000 - 5,000 ECD5EFACD13CCBDBF58B5F8B212511F7B12E9941
devlabsolaris.backpackmodforminecraft 1,000 - 5,000 8F9EDD079E1FE5D2C48DE5B9A9994E2D39C8B663
devlabsolaris.weaponsmodforminecraft 100 - 500 7F78C100C47B3130929F45B013B119656B2B0135
devlabsolaris.swordsmodforminecraft 100 - 500 23AE258960B46659EEF4C34021B1CE92EF9AA670