A Minecraft első verziója még 2009-ben jelent meg, de a játék a mai napig hihetetlenül népszerű. Ez nem meglepő; nem csak hatalmas szórakozás, de a gyerekek és a felnőttek számára is egy olyan platform, ahol saját világokat hozhatnak létre. Egyesek még várostervezésre is használják – és néhány tanár is használja az osztályteremben.

Sajnos, mint minden sikeres projekt esetében, a kiberbűnözők is alig várják, hogy részesüljenek belőle. Idén július óta több mint 20 olyan alkalmazást fedeztünk fel a Google Play-en, amelyek azt állítják, hogy modpackok a Minecrafthoz, holott elsődleges céljuk valójában az, hogy rendkívül tolakodó módon reklámokat jelenítsenek meg okostelefonokon és táblagépeken. Elmagyarázzuk, melyek ezek az alkalmazások, és hogyan lehet megvédeni az Android-eszközöket az ilyen fenyegetések ellen.

Hamis Minecraft modok a Google Playen

A cikk írásakor a Google Playen talált gátlástalan alkalmazások többségét már eltávolítottuk. Az öt megmaradt:

• Zone Modding Minecraft,
• Textures for Minecraft ACPE,
• Seeded for Minecraft ACPE,
• Mods for Minecraft ACPE,
• Darcy Minecraft Mod.

A szerényebbiknek több mint 500 telepítése volt, a legnépszerűbbnek pedig több mint 1 millió. Bár az alkalmazásoknak különböző kiadójuk van, két hamis modpack szinte pontosan ugyanazt a leírást viselte, egészen a gépelési hibákig.

Az alkalmazások értékelései ellentmondásosak. Az átlagos értékelések a 3 csillag körül mozognak, de összességében a pontszámok erősen polarizáltak, többnyire 5-ösök és 1-esek. Ez a fajta szórás arra utal, hogy botok hagynak lelkes értékeléseket, de a valódi felhasználók nagyon elégedetlenek. Sajnos ebben az esetben a kiberbűnözők a gyerekeket és a tinédzsereket célozzák meg, akik nem feltétlenül figyelnek oda a minősítésekre és az értékelésekre, mielőtt telepítenének egy alkalmazást.

Tájékoztattuk a Google-t a fent említett rosszindulatú alkalmazásokról, és az alkalmazásokat a bejegyzés megjelenéséig törölték a Google Playből. Ennek ellenére érdemes megemlíteni, hogy:

• A Google Playből törölt alkalmazások a már telepített felhasználók okostelefonján maradnak;
• A rosszindulatú programok készítői megpróbálhatják visszahelyezni alkalmazásaikat az áruházba úgy, hogy módosítják azokat, és egy másik fejlesztői fiókról teszik közzé.

Hamis modok a készüléken

Mindeközben a felhasználók joggal átkozzák az alkalmazásokat, amiért nem azt teszik, amit ígérnek. Az okostelefonon landolva a “modpack” hagyja magát egyszer megnyitni, de nem tölt be semmilyen modot (sőt, az általunk közelről vizsgált alkalmazás egyáltalán nem csinált semmi hasznosat). A csalódott felhasználó bezárja az alkalmazást, amely azonnal eltűnik. Pontosabban az ikonja eltűnik az okostelefon menüjéből.

Mivel a “modpack” kezdettől fogva hibásnak tűnt, a legtöbb felhasználó, különösen a gyerekek és tizenévesek, nem vesztegetik az időt a keresésére. Még az is lehet, hogy elfelejtik, és nem vesződnek azzal, hogy megpróbálják eltávolítani. A felhasználó tudta nélkül azonban az alkalmazás az okostelefonon marad – és nem csupán ott van, hanem keményen dolgozik.

A felhasználó elől elrejtve a hamis modpack hirdetéseket kezd el megjeleníteni. Az általunk vizsgált minta kétpercenként automatikusan megnyitott egy böngészőablakot a hirdetésekkel, nagymértékben zavarva a normál okostelefon-használatot.

A böngésző mellett az alkalmazások a C&C szerver utasításaitól függően megnyithatják a Google Play és a Facebook alkalmazásokat, vagy lejátszhatják a YouTube videókat. Akárhogy is, a teljes képernyős hirdetések állandó áradata gyakorlatilag használhatatlanná teszi a telefont.

Hogyan távolítsuk el a rosszindulatú Minecraft modpackokat

A hamis Minecraft modok talán legbosszantóbb tulajdonsága, hogy áldozataiknak nagyon nehéz rájönniük, miért nyílik meg folyamatosan a böngészőjük (vagy a Google Play, vagy a Facebook, vagy a YouTube). Valószínűleg arra a következtetésre jutnak, hogy a probléma a böngészőben (vagy abban az alkalmazásban, amelyet a hamis modpack betölt) van. A böngésző eltávolítása és újratelepítése azonban nem fogja megoldani a problémát, ahogy a beállításokkal való babrálás sem.

A probléma legyőzésének egyetlen módja, ha megszabadulunk a rosszindulatú alkalmazástól. Ehhez azonban meg kell találni azt, ami trükkös lehet; az érintett felhasználók nem biztos, hogy emlékeznek arra, hogy pontosan mit telepítettek, mielőtt a telefonjuk elkezdett viselkedni. A rosszindulatú alkalmazás azonosítása után meg kell keresni a készülék beállításaiban (Beállítások → Alkalmazások és értesítések → Minden alkalmazás megjelenítése), és onnan törölni. Szerencsére a rosszul viselkedő modpackok a törléssel teljesen eltávolításra kerülnek, és nem próbálják visszaállítani magukat.

Ha nem tudja kitalálni, melyik alkalmazás a hibás az okostelefon furcsa viselkedéséért, vagy csak gyorsan és egyszerűen szeretné megtisztítani gyermeke kütyüjét, telepítsen egy megbízható biztonsági megoldást, és vizsgálja át a készüléket. A Kaspersky Internet Security for Android például felismeri a hamis Minecraft modpackokat a not-a-virus:HEUR:AdWare.AndroidOS.HiddenAd.os ítélettel, és felszólítja a felhasználót, hogy törölje azokat, amelyek már az okostelefonon vagy a táblagépen vannak.

A jövőre nézve, hogy megakadályozza gyermekét a rosszindulatú programok letöltésében, tanítsa meg neki az alkalmazások lehetséges veszélyeit, beleértve a Google Playben találhatóakat is. Különösen a rosszul megírt leírásokra és a vadul változó értékelésekre és véleményekre összpontosítson – ezek a figyelmeztető jelek arra utalnak, hogy a fejlesztő vagy a kiadó esetleg nem áll a helyzet magaslatán. És hogy megismételjük, mindenképpen telepítsenek mobil vírusirtó programot az okostelefonjukra.