Kui laed Google Play’st alla Minecraftiga seotud sisu, siis loe edasi…

Minecrafti mängijad on viimasel ajal langenud pettuste ja agressiivsete reklaamide ohvriks 87 Minecrafti modi poolt, mida on viimasel Google Play’s märgatud.

Sääraseid rakendusi on võimalik jagada kahte kategooriasse – reklaame kuvav allalaadija, mille ESET on identifitseerinud kui Android/TrojanDownloader.Agent.JL ja petturlikud rakendused, mis suunavad kasutajad autorite veebilehtedele ja mis on identifitseeritud kui Android/FakeApp.FG.

Kokku laeti neid 87 modi alla kuni 990 000 korda, enne kui neist 16. ja 21.märtsil teada anti.

Reklaame kuvav allalaadija

Minecraft

Joonis 1 – Reklaame kuvav allalaadija, mis end Google Play’s Minecrafti modina peidab

Esimeses kategoorias on 14 rakendust, mis end Minecrafti modina kujutavad ja mida on alla laetud kuni 80 000 korda. Sarnaselt reklaame kuvava dropperiga, mida me varasemalt märtsis analüüsisime, kasutab see troojalane lisakomponenti selleks, et kuvada rakendusväliseid reklaame.

Antud juhul käitub komponent nagu moodul, mida on modi alla laadimiseks tarvis. Moodul ei ole algse rakenduse osa, see tuleb netist alla laadida ja kasutaja poolt pärast käivitamist käsitsi installeerida.

Omamata reaalset funktsionaalsust ja kuvades agressiivseid reklaame, pole need rakendused kasutajate seas eriti populaarsed, mida näitavad ka halvad hinded ja tugevalt negatiivsed hinnangud Google Play’s.

Minecraft

Joonis 2 – Halvad hinded Google Play’s

Kuidas see töötab?

Kui rakendus käivitada, küsib see koheselt administraatori õigusi. Kui rakendusele anda administraatori volitused, siis kuvatakse ekraan nupuga „INSTALL MOD“. Samaaegselt teatab rakendus, et on tarvis erilist käivitusprogrammi „special Block Launcher” selleks, et programmi paigaldamisega jätkata.

Pärast nupule „INSTALL MOD“ vajutamist suunatakse kasutaja lisamoodulit „Block Launcher Pro“ paigaldama, andes sellele mitu ligipääsuluba (sealhulgas administraatori õigused). Paigaldamise ajal alla laetud tarkvara on ESETi poolt identifitseeritud olema Android/Hiddad.DA.

Mooduli paigaldamine viib kasutaja tupikusse – ilmub Minecrafti-teemaline ekraan, millel puuduvad klikitavad elemendid. Rakenduse ja selle mooduli ainus tegelik funktsioon on reklaamide kuvamine. Reklaamid hakkavad nüüd kasutaja seadmesse ilmuma, segades nende tegevust.

Minecraft

Joonis 3 – Rakendusvälised reklaamid kasutaja seadmes.

Huvitaval kombel on selle reklaame kuvava allalaadija puhul tegemist edasiarendatud versiooniga rakendusest, mis ilmus Google Play’sse algselt juba veebruaris. Algne versioon kasutas sarnast kasutusliidest ja nõudis samuti seadme administraatori õiguseid. Siiski ei olnud rakendusel allalaadimisega seotud funktsionaalsust ja erinevalt sellest rakendusest, mida siin artiklis käsitleme, pakkus esialgne versioon kasutajale ka tegelikult toimivaid Minecrafti mode.

Selle evolutsiooni tulemusena on allalaadija võimeline ohvri seadmesse paigaldama ükskõik millist pahavara, ei ole põhjust uskuda, et pahavara autorid peatuksid vaid soovimatute reklaamide näitamise juures. Nähes, et ollakse võimelised tuhandeid kasutajaid oma petturlikke rakendusi kasutama saama, on loogiline järgmine samm, et hakatakse sarnasel kombel levitama ka ohtlikemaid programme.

Videojäädvustus installeerimisest

Seadet ümber suunavad petturlikud rakendused

Ülejäänud 73 tuvastatud rakendust kasutavad vana trikki, millega suunatakse kasutajad petturlikele veebilehtedele. ESET on tuvastanud, et rakendused kasutavad programmi Android/FakeApp.FG ja need lisati Google Play’sse jaanuari ja märtsi vahelisel ajal, jõudes enne nendest teatamiseni 910 000 allalaadimiseni.

 

Joonis 4 – Petturlikud rakendused, mis on Google Play’s maskeeritud Minecrafti modideks (klikka kõigi 73 ikooni nägemiseks)

Kuidas see töötab?

Rakenduse käivitamise järel ilmub ekraanile allalaadimisnupp. Nupule vajutades aga ei laeta alla ühtegi modi, selle asemel suunatakse kasutaja ümber brauserisse, kus avatakse veebileht. Veebilehed kuvavad igasugust häirivat sisu, alates reklaamidest, uuringutest ja tasuta kupongide pakkumistest kuni jackpoti võitmise teadete, pornograafia, eksitavate tarkvarauuenduste ja võltsviiruste alaste teadeteni, üritades kasutajat ehmatada. Teated kuvatakse erinevates keeltes, sõltuvalt kasutatavast IP-aadressist.

Minecraft

Joonis 5 – Kuvatav võlts allalaadimisekraan

Minecraft

Joonis 6 – Petturlikud teated, mida kuvatakse allalaadimisnupule vajutades

Minecraft

Joonis 7 – Lokaliseeritud teated

Kuidas end kaitsta?

Kui Teile meeldib Minecrafti mode alla laadida, siis võite olla kohanud mõnd järgnevat pahavara.

Võltsrakenduste puhul, mis suunavad kasutaja ümber petturlikele veebilehtedele, on mõjusid lihtne ära tunda – rakendused ei tööta ja kasutajale kuvatakse allalaadimisnupule vajutamise järel suvaline teadaanne.

Reklaame kuvava allalaadija puhul ei ole samuti mingit funktsionaalsust ja kasutaja seade jätkab soovimatute reklaamide kuvamist. Ometi on allalaadija suuteline igasuguste lisarakenduste allalaadimiseks, seega võivad reklaamid asenduda ohtliku pahavaraga.

Veendumaks, et seade on pahavarast vaba, kasutage usaldusväärset mobiilide mõeldud turvalahendust võimalike ohtude tuvastamiseks ja eemaldamiseks.

Ohtude käsitsi eemaldamiseks järgige alljärgnevaid samme.
Oma seadmest reklaame kuvava allalaadija eemaldamiseks peate kõigepealt deaktiveerima rakenduse ja allalaaditud mooduli administraatoriõigused menüüs: Seaded Turvalisus Seadme administraatorid, nii nagu joonisel 8 näha on. Seejärel on võimalik rakendused eemaldada menüüs: Seaded Rakenduste haldur.

Joonis 8 – Allalaadimised ja administraatoriõiguseid omav tarkvara

Joonis 9 – Allalaadimised ja tarkvara rakenduste halduris

Petturlikele veebilehtedele ümbersuunava rakenduse korral on rakenduse eemaldamine ühe sammu võrra lihtsam, sisenege menüüsse: Seaded Rakenduste haldur.

Joonis 10 – Võltsrakendus rakenduste halduris.

Vältimaks võltsrakenduste ja pahavara ohvriks langemist, kasutage ametlikke rakenduste poode. Isegi siis olge eriti hoolikad kolmanda poole pakutavate rakenduste osas, mis lubavad lisavõimalusi võrreldes olemasolevate rakendustega, sest selliste atraktiivsete lubaduste juures võib olla „konks“.

Enne rakenduse allalaadimist kontrollige rakenduse populaarsust allalaadimiste hulga, hinnete ja kõige olulisem, sisu arvustuste kaudu. Selliste rakenduste korral peaks madalad hinded ja vihased arvustused olema rakenduste mitteusaldusväärsuse heaks indikaatoriks.

Allikas: WeLiveSecurity