La première version de Minecraft est sortie en 2009, mais le jeu reste incroyablement populaire à ce jour. Ce n’est pas une surprise : non seulement il est très amusant, mais il constitue une plateforme permettant aux enfants et aux adultes de créer leurs propres mondes. Certains l’utilisent même pour l’urbanisme – et certains enseignants l’utilisent en classe.

Malheureusement, comme pour tout projet réussi, les cybercriminels sont impatients d’avoir une part de l’action. Depuis le mois de juillet de cette année, nous avons détecté plus de 20 applications sur Google Play prétendant être des modpacks pour Minecraft, alors qu’en fait leur objectif principal est d’afficher des publicités sur les smartphones et les tablettes de manière extrêmement intrusive. Nous vous expliquons ce que sont ces applications et comment protéger les appareils Android contre ces menaces.

Faux mods Minecraft sur Google Play

Au moment de la rédaction de cet article, la plupart des applications peu scrupuleuses que nous avons trouvées sur Google Play avaient déjà été supprimées. Les cinq qui restaient étaient :

• Zone Modding Minecraft,
• Textures pour Minecraft ACPE,
• Seeded for Minecraft ACPE,
• Mods for Minecraft ACPE,
• Darcy Minecraft Mod.

La plus humble d’entre elles avait plus de 500 installations, et la plus populaire plus d’un million. Bien que les applications aient des éditeurs différents, deux des faux modpacks portaient presque exactement la même description, jusqu’aux fautes de frappe.

Les critiques des applications sont contradictoires. Les notes moyennes oscillent autour de la barre des 3 étoiles, mais dans l’ensemble, les notes sont très polarisées, principalement des 5 et des 1. Ce genre de répartition suggère que les bots laissent des avis élogieux mais que les vrais utilisateurs sont très mécontents. Malheureusement, dans ce cas, les cybercriminels ciblent les enfants et les adolescents, qui ne prêtent pas forcément attention aux évaluations et aux critiques avant d’installer une application.

Nous avons informé Google des apps malveillantes mentionnées ci-dessus, et les apps ont été supprimées de Google Play au moment de la publication de ce billet. Néanmoins, il convient de mentionner que :

• Après avoir été supprimées de Google Play, les applications restent sur les smartphones de tous les utilisateurs qui les ont déjà installées ;
• Les créateurs de logiciels malveillants peuvent essayer de faire revenir leurs applications dans la boutique en les modifiant et en les publiant à partir d’un compte de développeur différent.

Faux mods sur l’appareil

En attendant, les utilisateurs maudissent à juste titre les apps qui ne font pas ce qu’elles ont promis. Ayant atterri sur un smartphone, le « modpack » se laisse ouvrir une fois, mais il ne charge aucun mod (en fait, l’application que nous avons étudiée de près ne faisait rien d’utile du tout). L’utilisateur frustré ferme l’application, qui disparaît aussitôt. Plus précisément, son icône disparaît du menu du smartphone.

Parce que le « modpack » semblait défaillant dès le départ, la plupart des utilisateurs, surtout les enfants et les adolescents, ne perdront pas de temps à le chercher. Ils peuvent même l’oublier et ne pas prendre la peine d’essayer de le supprimer. À l’insu de l’utilisateur, cependant, l’application reste sur le smartphone – et pas seulement là, mais à l’œuvre.

Caché à l’utilisateur, le faux modpack commence à afficher des publicités. L’échantillon que nous avons examiné ouvrait automatiquement une fenêtre de navigateur avec des publicités toutes les deux minutes, interférant grandement avec l’utilisation normale du smartphone.

En plus du navigateur, les applications peuvent ouvrir Google Play et Facebook ou lire des vidéos YouTube, selon les ordres du serveur C&C. Quoi qu’il en soit, le flux constant de publicités en plein écran rend le téléphone pratiquement inutilisable.

Comment supprimer les modpacks Minecraft malveillants

Peut-être que le plus ennuyeux avec les faux mods Minecraft est que leurs victimes ont beaucoup de mal à comprendre pourquoi leur navigateur (ou Google Play, ou Facebook, ou YouTube) continue de s’ouvrir. Elles sont susceptibles de conclure que le problème se situe au niveau du navigateur (ou de l’application chargée par le faux modpack). Cependant, désinstaller et réinstaller le navigateur ne résoudra pas le problème, pas plus que de bricoler les paramètres.

La seule façon de vaincre le problème est de se débarrasser de l’application malveillante. Mais cela signifie qu’il faut la localiser, ce qui peut être délicat ; les utilisateurs concernés peuvent ne pas se souvenir de ce qu’ils ont exactement installé avant que leurs téléphones ne commencent à agir. Après avoir identifié l’application malveillante, vous devrez la trouver dans les paramètres de l’appareil (Paramètres → Apps et notifications → Afficher toutes les apps) et la supprimer à partir de là. Heureusement, les modpacks qui se comportent mal sont entièrement supprimés avec la suppression et n’essaient pas de se restaurer.

Si vous avez du mal à déterminer quelle application est à blâmer pour le comportement étrange du smartphone, ou si vous voulez simplement nettoyer le gadget de votre enfant rapidement et facilement, installez une solution de sécurité fiable et analysez l’appareil. Par exemple, Kaspersky Internet Security for Android reconnaît les faux modpacks Minecraft avec le verdict not-a-virus:HEUR:AdWare.AndroidOS.HiddenAd.os, et invite l’utilisateur à supprimer ceux qui sont déjà sur le smartphone ou la tablette.

À l’avenir, pour éviter que votre enfant ne télécharge des logiciels malveillants, enseignez-lui les dangers potentiels des applications, y compris celles sur Google Play. En particulier, concentrez-vous sur les descriptions mal rédigées et les évaluations et critiques très variables – des signes d’avertissement que le développeur ou l’éditeur pourrait ne pas être en règle. Et pour répéter, assurez-vous d’installer un utilitaire antivirus mobile sur leur smartphone.