Malware in Minecraft-Mods

Über 20 Apps auf Google Play, die coole Minecraft-Mods versprachen, enthielten Schadsoftware.

2009 wurde die erste Version von Minecraft veröffentlicht. Doch bis heute ist das Spiel unglaublich populär. Überraschend ist das tatsächlich nicht, denn es macht nicht nur unheimlich viel Spaß, sondern erlaubt Gross und Klein, eine eigene 3D-Welt zu erschaffen. So manch einer nutzt das Open-World-Spiel sogar zur Städteplanung — und es gibt Lehrer, die es im Unterricht einsetzen.

Wie bei allen erfolgreichen Projekten wollen leider auch Cyberkriminelle ein Stück vom Kuchen abhaben. Seit Juli dieses Jahres haben wir über 20 Apps auf Google Play identifiziert, die sich als Modpacks für Minecraft ausgeben, obwohl ihr Hauptzweck darin besteht, extrem aufdringliche Werbung auf Smartphones und Tablets anzuzeigen. Wir erklären, um welche Apps es sich handelt und wie man Android-Geräte vor diesen Bedrohungen schützen kann.

Gefälschte Minecraft-Mods auf Google Play

Mittlerweile sind die meisten der dreisten Apps, die wir bei Google Play gefunden haben, bereits entfernt worden. Zu den fünf verbleibenden gehör(t)en:

  • Zone Modding Minecraft,
  • Textures for Minecraft ACPE,
  • Seeded for Minecraft ACPE,
  • Mods for Minecraft ACPE,
  • Darcy Minecraft Mod.

Die unbekannteren Anwendungen wurden über 500-mal installiert, die beliebtesten mehr als eine Million Mal. Zwar kommen die Apps von unterschiedlichen Herausgebern, dennoch hatten zwei der falschen Modpacks fast identische Beschreibungen, inklusive der Tippfehler.

Apps von unterschiedlichen Herausgebern mit identischen Beschreibungen

Apps von unterschiedlichen Herausgebern mit identischen Beschreibungen

Die Rezensionen der Apps sind widersprüchlich. Die durchschnittliche Bewertung liegt bei etwa drei Sternen. Insgesamt ist das Bild jedoch stark gespalten, meistens handelt es sich um 5er- und 1er-Bewertungen. Diese Art der Verteilung legt nahe, dass Bots für die einwandfreien Rezensionen verantwortlich, die wirklichen Nutzer jedoch sehr unzufrieden sind. Leider haben es die Cyberkriminellen in diesem Fall auf Kinder und Jugendliche abgesehen, die vor der Installation einer App nicht unbedingt auf Bewertungen und Rezensionen schauen.

Die Apps bekommen entweder fünf Sterne oder nur einen. Sehr verdächtig!

Die Apps bekommen entweder fünf Sterne oder nur einen. Sehr verdächtig!

Wir haben Google über die oben genannten Malware-Apps informiert, die mittlerweile aus dem Google Play Store entfernt wurden. Trotzdem sollte man bedenken, dass:

  • Nachdem Apps aus Google Play gelöscht wurden, sie auf den Smartphones aller Nutzer, die sie bereits installiert hatten, weiterhin vorhanden sind;
  • Die Entwickler der Malware versuchen könnten, ihre Anwendungen wieder in den Play Store zu schmuggeln, indem sie diese anpassen und von einem anderen Entwicklerkonto aus veröffentlichen.

Fake-Mods auf dem Gerät

Gleichzeitig verfluchen die Benutzer berechtigterweise die Apps, weil sie nicht das tun, was sie versprochen haben. Das „Modpack“ lässt sich genau einmal öffnen, nachdem es auf einem Smartphone gelandet ist, installiert aber keine Mods (die App von uns untersuchte App hat tatsächlich überhaupt nichts Nützliches getan). Der frustrierte Benutzer schließt die App, die daraufhin sofort verschwindet. Genauer gesagt, verschwindet ihr Symbol aus dem Menü des Smartphones.

Benutzer beklagen sich, dass die App nicht funktioniert und sich anscheinend von alleine löscht

Benutzer beklagen sich, dass die App nicht funktioniert und sich anscheinend von alleine löscht

Da das „Modpack“ von Anfang an fehlerhaft wirkt, werden die meisten Benutzer, vor allem Kinder und Jugendliche, keine Zeit darauf verwenden, nach ihm zu suchen. Sie vergessen es vielleicht sogar und machen sich nicht die Mühe, es zu löschen. Ohne dass der Benutzer etwas mitbekommt, verbleibt die App jedoch auf dem Smartphone — und arbeitet im Hintergrund auf Hochtouren.

Vor dem Benutzer verborgen, beginnt das Fake-Modpack mit dem Anzeigen von Werbung. Die von uns untersuchte App öffnete automatisch alle zwei Minuten ein Browserfenster mit Werbung, was die normale Smartphone-Nutzung natürlich stark beeinträchtigt.

Außer dem Browser kann die App Google Play und Facebook öffnen oder YouTube-Videos abspielen, je nachdem, welche Befehle der Command-and-Control-Server ausgibt. In jedem Fall wird das Smartphone durch die ständig auftauchenden Vollbild-Anzeigen praktisch unbenutzbar.

Schädliche Minecraft-Modpacks entfernen

Das vielleicht lästigste an den gefakten Minecraft-Mods ist, dass die Opfer große Schwierigkeiten haben herauszufinden, warum ihr Browser (oder Google Play, Facebook, oder YouTube) sich immer wieder öffnet. Sie kommen wahrscheinlich zu dem Schluss, dass das Problem beim Browser liegt (oder in der Anwendung, die das gefakte Modpack lädt). Eine De- und Neuinstallation des Browsers wird das Problem jedoch nicht beheben, ebenso wenig wie das Experimentieren mit verschiedenen Einstellungen.

Die schädliche App loszuwerden ist die einzige Möglichkeit, um das Problem zu bewältigen. Das ist aber leichter gesagt als getan, denn dazu muss man sie erst einmal finden. Betroffene Benutzer erinnern sich vielleicht gar nicht mehr genau daran, was sie installiert haben, bevor ihr Telefon verrücktspielte. Nachdem man die schädliche App identifiziert hat, muss man sie in den Einstellungen finden (Einstellungen → Apps und Benachrichtigungen → Alle Apps anzeigen) und von dort aus löschen. Glücklicherweise werden die störenden Modpacks mit der Entfernung vollständig gelöscht und stellen sich nicht von alleine wieder her.

Wenn Sie Schwierigkeiten dabei haben herauszufinden, welche App für das seltsame Verhalten des Smartphones verantwortlich ist oder wenn Sie das Gerät Ihres Kindes schnell und einfach bereinigen möchten, installieren Sie eine zuverlässige Sicherheitslösung und scannen Sie das Gerät. Beispielsweise Kaspersky Internet Security for Android erkennt gefakte Minecraft-Modpacks mit der Meldung „Kein Virus: HEUR:AdWare.AndroidOS.HiddenAd.os“ und fordert den Benutzer auf, bereits auf dem Smartphone oder Tablet installierte Apps dieser Art zu löschen.

Damit Ihr Kind in Zukunft keine Malware herunterlädt, sollten Sie es über die potenziellen Gefahren von Apps aufklären, auch über solche in Google Play. Richten Sie Ihre Aufmerksamkeit insbesondere auf schlecht geschriebene Beschreibungen und stark voneinander abweichende Bewertungen und Rezensionen — Warnzeichen, dass der Entwickler oder Herausgeber möglicherweise nicht ganz ehrlich ist. Und um es noch einmal zu betonen, installieren Sie eine Antiviren-Software auf den Smartphones Ihrer Kinder.

Tipps