El malware en mods para Minecraft: la historia continúa

Encontramos más modpacks y una herramienta de recuperación de archivos disponibles en Google Play que ocultan adware malicioso.

Si bien hace poco reportamos haber encontrado 20 aplicaciones en Google Play que se hacían pasar por modpacks para Minecraft, la aplicación más popular con más de un millón de descargas, este malware que se aprovecha de Minecraft sigue apareciendo en Google Play, convirtiendo los smartphones y tablets en herramientas publicitarias extremadamente invasivas.

Para ser más precisos, estas aplicaciones resultaban completamente inútiles desde la perspectiva del usuario. En cambio, después del primer uso, ocultaban sus iconos y abrían con frecuencia el navegador para mostrar anuncios. También reproducían vídeos de YouTube, abrían páginas de aplicaciones de Google Play, etc. La versión que analizamos, por ejemplo, abría el navegador cada dos minutos, por lo que el dispositivo quedaba prácticamente inutilizable. Lo más preocupante es que resultaba muy difícil para el usuario averiguar qué estaba pasando, qué aplicación era responsable de dichos problemas y cómo detenerla.

Notificamos a Google el hallazgo y rápidamente eliminaron estas aplicaciones maliciosas de la tienda.

Las nuevas versiones de las aplicaciones maliciosas

Borrar las aplicaciones de la tienda de Google no necesariamente elimina el malware. Sus creadores pueden cargar versiones nuevas, con algunas cuantas modificaciones, nombres diferentes y desde las cuentas de otros desarrolladores.

El troyano de VK Music es un ejemplo de esta estrategia. Este troyano robó cuentas de los usuarios de VK y, a pesar de haberse reportado, estuvo en Google Play durante varios años.

En vista de esto, revisamos el caso de los modpacks maliciosos para Minecraft en Google Play para averiguar si nuestro reporte había ayudado en algo. Para ello, hicimos una búsqueda de aplicaciones similares y nos encontramos con algunas.

Las versiones nuevas y mejoradas

En primer lugar, encontramos múltiples aplicaciones con el planteamiento ya mencionado, pero con algunas mejoras. De normal las aplicaciones aceptan comandos de mensajes push de los atacantes para mostrar anuncios en pantalla completa (sin necesidad de la interacción del usuario). Las aplicaciones también están diseñadas para descargar un módulo adicional. Una vez que han descargado el módulo, se habilitan más funciones, lo que permite que las aplicaciones oculten sus iconos, controlen el navegador, reproduzcan vídeos de YouTube, abran páginas de aplicaciones de Google Play, etc.

En esta ocasión, la lista de aplicaciones comprometidas incluía, además de los mods para Minecraft, una herramienta de recuperación de archivos llamada File Recovery – Recover Deleted Files. La versión 1.1.0, disponible en Google Play hasta febrero del 2021, tenía una carga maliciosa. Esa versión ya fue eliminada y la 1.1.1, ahora disponible en Google Play, es segura.

Una versión simplificada con suscripción de pago en Google Play

En segundo lugar, encontramos un par de modpacks para Minecraft con la funcionalidad básica, una configuración en la que las aplicaciones en ocasiones muestran anuncios en pantalla completa, incluso cuando la aplicación está inactiva, pero no pueden ocultar su icono o controlar el navegador, YouTube o Google Play. Para obtener más recursos, se utiliza la función de compras dentro de la app.

Uno de los modpacks maliciosos para Minecraft en Google Play

Cabe destacar que una de las aplicaciones ahora está disponible en la tienda como una “versión” básica y con la opción de compra dentro de la app habilitada, mientras que hace algunos meses dependía del módulo descargable adicional. A partir de esta información, concluimos que sus propietarios siguen experimentando con las opciones de pago.

Una versión que roba cuentas de Facebook

En tercer lugar, encontramos varias aplicaciones más cuya funcionalidad maliciosa principal no era la ya mencionada. Por ejemplo, hace un tiempo podíamos encontrar en Google Play una aplicación de red publicitaria falsa, Madgicx, y una aplicación de gestión de anuncios de TikTok falsa. Ambas aplicaciones solicitaban con insistencia los datos de la cuenta de Facebook del usuario y, una vez introducidos, robaban la cuenta.

Las aplicaciones de tiendas alternativas

Por último, muchas de estas aplicaciones siguen disponibles en tiendas alternativas después de que Google las eliminara de la suya. Lo cual no debería sorprendernos, dado que ni el mismo Google, que cuenta con muchos más recursos que una empresa promedio, puede moderar siempre el gran volumen de aplicaciones existentes, pero lo mencionamos como prueba de que las tiendas alternativas no son seguras. Si aún así sigues pensando en utilizarlas por el motivo que sea, al menos instala un antivirus de confianza para móvil con el objetivo de protegerte de las aplicaciones peligrosas.

Dicho esto, como nos enseña este y muchos otros episodios de malware que se cuelan en la tienda oficial de Google, aunque únicamente descargues tus aplicaciones desde Google Play, te conviene tener un antivirus en tu smartphone.

Consejos