Die erste Version von Minecraft wurde bereits 2009 veröffentlicht, aber das Spiel ist bis heute unglaublich beliebt. Das ist nicht verwunderlich, denn es macht nicht nur enorm viel Spaß, sondern ist auch eine Plattform für Kinder und Erwachsene, um ihre eigenen Welten zu erschaffen. Manche nutzen es sogar für die Stadtplanung – und manche Lehrer setzen es im Unterricht ein.

Leider sind, wie bei jedem erfolgreichen Projekt, Cyberkriminelle begierig darauf, ein Stück vom Kuchen abzubekommen. Seit Juli dieses Jahres haben wir mehr als 20 Apps auf Google Play entdeckt, die vorgeben, Modpacks für Minecraft zu sein. In Wirklichkeit besteht ihr Hauptzweck darin, auf Smartphones und Tablets auf extrem aufdringliche Weise Werbung anzuzeigen. Wir erklären, was diese Apps sind und wie man Android-Geräte vor solchen Bedrohungen schützen kann.

Gefälschte Minecraft-Mods auf Google Play

Zum Zeitpunkt dieses Artikels waren die meisten der skrupellosen Apps, die wir auf Google Play gefunden haben, bereits entfernt worden. Die fünf, die übrig blieben, waren:

• Zone Modding Minecraft,
• Textures for Minecraft ACPE,
• Seeded for Minecraft ACPE,
• Mods for Minecraft ACPE,
• Darcy Minecraft Mod.

Die einfachste von ihnen hatte mehr als 500 Installationen, die beliebteste mehr als 1 Million. Obwohl die Apps unterschiedliche Herausgeber haben, trugen zwei der gefälschten Modpacks fast genau die gleiche Beschreibung, bis hin zu den Tippfehlern.

Die Bewertungen der Apps sind widersprüchlich. Die durchschnittlichen Bewertungen bewegen sich um die 3-Sterne-Marke, aber insgesamt sind die Bewertungen stark polarisiert, meist 5er und 1er. Diese Streuung deutet darauf hin, dass Bots begeisterte Bewertungen abgeben, echte Nutzer aber sehr unzufrieden sind. Leider haben es die Cyberkriminellen in diesem Fall auf Kinder und Jugendliche abgesehen, die möglicherweise nicht auf Bewertungen und Rezensionen achten, bevor sie eine App installieren.

Wir haben Google über die oben genannten bösartigen Apps informiert, und die Apps wurden zum Zeitpunkt der Veröffentlichung dieses Beitrags bereits aus Google Play gelöscht. Dennoch ist es erwähnenswert, dass:

• Nachdem Apps aus Google Play gelöscht wurden, verbleiben sie auf den Smartphones aller Nutzer, die sie bereits installiert haben;
• Die Schöpfer der Malware können versuchen, ihre Apps wieder in den Store zu bringen, indem sie sie modifizieren und über ein anderes Entwicklerkonto veröffentlichen.

Gefälschte Mods auf dem Gerät

In der Zwischenzeit verfluchen die Nutzer die Apps zu Recht, weil sie nicht das tun, was sie versprechen. Auf dem Smartphone gelandet, lässt sich das „Modpack“ zwar einmal öffnen, lädt aber keine Mods (die von uns untersuchte App tat sogar überhaupt nichts Nützliches). Der frustrierte Benutzer schließt die App, die daraufhin verschwindet. Genauer gesagt, verschwindet ihr Symbol aus dem Menü des Smartphones.

Da das „Modpack“ von Anfang an fehlerhaft zu sein schien, werden die meisten Nutzer, vor allem Kinder und Jugendliche, keine Zeit mit der Suche danach verschwenden. Sie werden es vielleicht sogar vergessen und sich nicht die Mühe machen, es zu entfernen. Ohne dass der Benutzer es merkt, bleibt die App jedoch auf dem Smartphone – und zwar nicht nur dort, sondern bei der Arbeit.

Vor dem Benutzer verborgen, beginnt das gefälschte Modpack, Werbung anzuzeigen. Das von uns untersuchte Beispiel öffnete alle zwei Minuten automatisch ein Browser-Fenster mit Werbung, was die normale Smartphone-Nutzung stark beeinträchtigt.

Neben dem Browser können die Apps je nach Anweisung des C&C-Servers auch Google Play und Facebook öffnen oder YouTube-Videos abspielen. In jedem Fall macht der ständige Strom von Vollbild-Werbung das Telefon praktisch unbrauchbar.

Wie man bösartige Minecraft-Modpacks entfernt

Das Ärgerlichste an den gefälschten Minecraft-Mods ist vielleicht, dass ihre Opfer nur schwer herausfinden können, warum sich ihr Browser (oder Google Play oder Facebook oder YouTube) immer wieder öffnet. Sie werden wahrscheinlich zu dem Schluss kommen, dass das Problem im Browser liegt (oder in der App, die das gefälschte Modpack lädt). Die Deinstallation und Neuinstallation des Browsers wird das Problem jedoch nicht beheben, ebenso wenig wie das Herumbasteln an den Einstellungen.

Die einzige Möglichkeit, das Problem zu beheben, besteht darin, die bösartige Anwendung loszuwerden. Das kann schwierig sein, denn die betroffenen Benutzer wissen möglicherweise nicht mehr, was genau sie installiert haben, bevor das Problem auftrat. Nachdem Sie die bösartige App identifiziert haben, müssen Sie sie in den Geräteeinstellungen finden (Einstellungen → Apps und Benachrichtigungen → Alle Apps anzeigen) und von dort aus löschen. Glücklicherweise werden die fehlerhaften Modpacks beim Löschen vollständig entfernt und versuchen nicht, sich selbst wiederherzustellen.

Wenn Sie Schwierigkeiten haben, herauszufinden, welche App für das seltsame Verhalten des Smartphones verantwortlich ist, oder wenn Sie das Gerät Ihres Kindes einfach nur schnell und einfach säubern möchten, installieren Sie eine zuverlässige Sicherheitslösung und scannen Sie das Gerät. Kaspersky Internet Security für Android erkennt beispielsweise gefälschte Minecraft-Modpacks mit dem Vermerk not-a-virus:HEUR:AdWare.AndroidOS.HiddenAd.os und fordert den Benutzer auf, alle bereits auf dem Smartphone oder Tablet befindlichen Apps zu löschen.

Um zu verhindern, dass Ihr Kind Malware herunterlädt, sollten Sie es in Zukunft über die potenziellen Gefahren von Apps aufklären, auch von denen auf Google Play. Achten Sie insbesondere auf schlecht geschriebene Beschreibungen und stark variierende Bewertungen und Rezensionen – Warnzeichen, die darauf hindeuten, dass der Entwickler oder Herausgeber nicht auf dem neuesten Stand ist. Und um es noch einmal zu wiederholen: Installieren Sie unbedingt ein mobiles Antivirenprogramm auf ihrem Smartphone.