{"id":25465,"date":"2021-06-10T13:16:56","date_gmt":"2021-06-10T11:16:56","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25465"},"modified":"2021-06-10T13:16:56","modified_gmt":"2021-06-10T11:16:56","slug":"minecraft-mod-adware-google-play-revisited","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play-revisited\/25465\/","title":{"rendered":"El malware en mods para Minecraft: la historia contin\u00faa"},"content":{"rendered":"<p>Si bien hace poco <a href=\"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play\/24286\/\" target=\"_blank\" rel=\"noopener\">reportamos haber encontrado 20 aplicaciones en Google Play<\/a> que se hac\u00edan pasar por <em>modpacks<\/em> para <em>Minecraft<\/em>, la aplicaci\u00f3n m\u00e1s popular con m\u00e1s de un mill\u00f3n de descargas, este <em>malware<\/em> que se aprovecha de <em>Minecraft <\/em>sigue apareciendo en Google Play, convirtiendo los <em>smartphones<\/em> y tablets en herramientas publicitarias extremadamente invasivas.<\/p>\n<p>Para ser m\u00e1s precisos, estas aplicaciones resultaban completamente in\u00fatiles desde la perspectiva del usuario. En cambio, despu\u00e9s del primer uso, ocultaban sus iconos y abr\u00edan con frecuencia el navegador para mostrar anuncios. Tambi\u00e9n reproduc\u00edan v\u00eddeos de YouTube, abr\u00edan p\u00e1ginas de aplicaciones de Google Play, etc. La versi\u00f3n que analizamos, por ejemplo, abr\u00eda el navegador cada dos minutos, por lo que el dispositivo quedaba pr\u00e1cticamente inutilizable. Lo m\u00e1s preocupante es que resultaba muy dif\u00edcil para el usuario averiguar qu\u00e9 estaba pasando, qu\u00e9 aplicaci\u00f3n era responsable de dichos problemas y c\u00f3mo detenerla.<\/p>\n<p>Notificamos a Google el hallazgo y r\u00e1pidamente eliminaron estas aplicaciones maliciosas de la tienda.<\/p>\n<h2>Las nuevas versiones de las aplicaciones maliciosas<\/h2>\n<p>Borrar las aplicaciones de la tienda de Google no necesariamente elimina el <em>malware<\/em>. Sus creadores pueden cargar versiones nuevas, con algunas cuantas modificaciones, nombres diferentes y desde las cuentas de otros desarrolladores.<\/p>\n<p>El troyano de VK Music es un ejemplo de esta estrategia. Este troyano rob\u00f3 cuentas de los usuarios de VK y, a pesar de haberse reportado, estuvo en Google Play <a href=\"https:\/\/securelist.com\/stealing-to-the-sound-of-music\/72458\/\" target=\"_blank\" rel=\"noopener\">durante varios<\/a> <a href=\"https:\/\/securelist.com\/still-stealing\/83343\/\" target=\"_blank\" rel=\"noopener\">a\u00f1os<\/a>.<\/p>\n<p>En vista de esto, revisamos el caso de los <em>modpacks<\/em> maliciosos para Minecraft en Google Play para averiguar si nuestro reporte hab\u00eda ayudado en algo. Para ello, hicimos una b\u00fasqueda de aplicaciones similares y nos encontramos con algunas.<\/p>\n<h3>Las versiones nuevas y mejoradas<\/h3>\n<p>En primer lugar, encontramos m\u00faltiples aplicaciones con el planteamiento ya mencionado, pero con algunas mejoras. De normal las aplicaciones aceptan comandos de mensajes <em>push<\/em> de los atacantes para mostrar anuncios en pantalla completa (sin necesidad de la interacci\u00f3n del usuario). Las aplicaciones tambi\u00e9n est\u00e1n dise\u00f1adas para descargar un m\u00f3dulo adicional. Una vez que han descargado el m\u00f3dulo, se habilitan m\u00e1s funciones, lo que permite que las aplicaciones oculten sus iconos, controlen el navegador, reproduzcan v\u00eddeos de YouTube, abran p\u00e1ginas de aplicaciones de Google Play, etc.<\/p>\n<p>En esta ocasi\u00f3n, la lista de aplicaciones comprometidas inclu\u00eda, adem\u00e1s de los <em>mods<\/em> para Minecraft, una herramienta de recuperaci\u00f3n de archivos llamada <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.lutoreteam.filerecovery.recoverdeletedfiles\" target=\"_blank\" rel=\"noopener nofollow\">File Recovery \u2013 Recover Deleted Files<\/a>. La versi\u00f3n 1.1.0, disponible en Google Play hasta febrero del 2021, ten\u00eda una carga maliciosa. Esa versi\u00f3n ya fue eliminada y la 1.1.1, ahora disponible en Google Play, es segura.<\/p>\n<h3>Una versi\u00f3n simplificada con suscripci\u00f3n de pago en Google Play<\/h3>\n<p>En segundo lugar, encontramos un par de <em>modpacks<\/em> para Minecraft con la funcionalidad b\u00e1sica, una configuraci\u00f3n en la que las aplicaciones en ocasiones muestran anuncios en pantalla completa, incluso cuando la aplicaci\u00f3n est\u00e1 inactiva, pero no pueden ocultar su icono o controlar el navegador, YouTube o Google Play. Para obtener m\u00e1s recursos, se utiliza la funci\u00f3n de compras dentro de la app.<\/p>\n<div id=\"attachment_25468\" style=\"width: 1470px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-25468\" class=\"wp-image-25468 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2021\/06\/10120358\/minecraft-mod-adware-google-play-revisited-screen-1.jpg\" alt=\"\" width=\"1460\" height=\"1200\"><p id=\"caption-attachment-25468\" class=\"wp-caption-text\">Uno de los modpacks maliciosos para Minecraft en Google Play<\/p><\/div>\n<p>Cabe destacar que una de las aplicaciones ahora est\u00e1 disponible en la tienda como una \u201cversi\u00f3n\u201d b\u00e1sica y con la opci\u00f3n de compra dentro de la app habilitada, mientras que hace algunos meses depend\u00eda del m\u00f3dulo descargable adicional. A partir de esta informaci\u00f3n, concluimos que sus propietarios siguen experimentando con las opciones de pago.<\/p>\n<h3>Una versi\u00f3n que roba cuentas de Facebook<\/h3>\n<p>En tercer lugar, encontramos varias aplicaciones m\u00e1s cuya funcionalidad maliciosa principal no era la ya mencionada. Por ejemplo, hace un tiempo pod\u00edamos encontrar en Google Play una aplicaci\u00f3n de red publicitaria falsa, Madgicx, y una aplicaci\u00f3n de gesti\u00f3n de anuncios de TikTok falsa. Ambas aplicaciones solicitaban con insistencia los datos de la cuenta de Facebook del usuario y, una vez introducidos, robaban la cuenta.<\/p>\n<h3>Las aplicaciones de tiendas alternativas<\/h3>\n<p>Por \u00faltimo, muchas de estas aplicaciones siguen disponibles en tiendas alternativas despu\u00e9s de que Google las eliminara de la suya. Lo cual no deber\u00eda sorprendernos, dado que ni el mismo Google, que cuenta con muchos m\u00e1s recursos que una empresa promedio, puede moderar siempre el gran volumen de aplicaciones existentes, pero lo mencionamos como prueba de que las tiendas alternativas no son seguras. Si a\u00fan as\u00ed sigues pensando en utilizarlas por el motivo que sea, al menos instala un <a href=\"https:\/\/www.kaspersky.es\/mobile-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____db30dc5b3a8cb734\" target=\"_blank\" rel=\"noopener\">antivirus de confianza para m\u00f3vil<\/a>\u00a0con el objetivo de protegerte de las aplicaciones peligrosas.<\/p>\n<p>Dicho esto, como nos ense\u00f1a este y <a href=\"https:\/\/www.kaspersky.es\/blog\/dresscode-android-trojan\/9282\/\" target=\"_blank\" rel=\"noopener\">muchos<\/a> <a href=\"https:\/\/www.kaspersky.es\/blog\/pokemon-go-malware\/9095\/\" target=\"_blank\" rel=\"noopener\">otros<\/a> <a href=\"https:\/\/www.kaspersky.es\/blog\/google-play-hidden-miners\/15772\/\" target=\"_blank\" rel=\"noopener\">episodios<\/a> de <a href=\"https:\/\/www.kaspersky.es\/blog\/phantomlance-android-backdoor-trojan\/22625\/\" target=\"_blank\" rel=\"noopener\">malware que se cuelan en<\/a> <a href=\"https:\/\/www.kaspersky.es\/blog\/camscanner-malicious-android-app\/19148\/\" target=\"_blank\" rel=\"noopener\">la tienda oficial de Google<\/a>, aunque \u00fanicamente descargues tus aplicaciones desde Google Play, te conviene tener un antivirus en tu <em>smartphone<\/em>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"android\">\n","protected":false},"excerpt":{"rendered":"<p>Encontramos m\u00e1s modpacks y una herramienta de recuperaci\u00f3n de archivos disponibles en Google Play que ocultan adware malicioso.<\/p>\n","protected":false},"author":2624,"featured_media":25467,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[542,59,182,1615,188,3205,3206],"class_list":{"0":"post-25465","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-adware","9":"tag-android","10":"tag-aplicaciones","11":"tag-gamers","12":"tag-google-play","13":"tag-minecraft","14":"tag-mods"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/minecraft-mod-adware-google-play-revisited\/25465\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/minecraft-mod-adware-google-play-revisited\/22950\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/18442\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/9182\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/24893\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/minecraft-mod-adware-google-play-revisited\/22887\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/22106\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/minecraft-mod-adware-google-play-revisited\/24914\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/minecraft-mod-adware-google-play-revisited\/30892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/minecraft-mod-adware-google-play-revisited\/9732\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/minecraft-mod-adware-google-play-revisited\/40202\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/minecraft-mod-adware-google-play-revisited\/17111\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/minecraft-mod-adware-google-play-revisited\/17614\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/minecraft-mod-adware-google-play-revisited\/14913\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/minecraft-mod-adware-google-play-revisited\/26922\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/minecraft-mod-adware-google-play-revisited\/27178\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/minecraft-mod-adware-google-play-revisited\/24008\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/minecraft-mod-adware-google-play-revisited\/29327\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/minecraft-mod-adware-google-play-revisited\/29131\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/gamers\/","name":"gamers"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2624"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=25465"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25465\/revisions"}],"predecessor-version":[{"id":25470,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25465\/revisions\/25470"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/25467"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=25465"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=25465"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=25465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}