Populaire N64-emulator MegaN64 is uit Play Store gehaald wegens malware

De Nintendo 64-emulator MegaN64 voor Android is uit de Google Play Store verwijderd. Volgens de Play Store had de app meer dan 10 miljoen installs. Vermoedelijk zat de malware er sinds september 2018 in.

Google meldt aan gebruikers die de app geïnstalleerd hadden dat Play Protect malware in de app gevonden heeft. Volgens een topic met meldingen op Reddit is MegaN64 op 2 maart uit de Play Store gehaald. Wanneer Play Protect detecteert dat een Play Store-app malware bevat, wordt deze ook van de telefoon van een gebruiker gehaald.

In januari maakte Redditgebruiker Reiley360 melding dat MegaN64 zeer grote hoeveelheden data gebruikte, terwijl hij de app zelf 'al tijden' niet had geopend. Hij claimde dat MegaN64 meer dan 20GB data had verstookt op wifi en op mobiele netwerken 249MB. Ook had hij last van pop-ups in de vorm van een Chrome-tab die een pagina genaamd 'livemobilesearch' opende. Twee andere gebruikers zeggen ook last gehad te hebben van de pop-ups.

De Redditors stellen ook dat ze tot twee keer toe geprobeerd hebben contact op te nemen met de ontwikkelaar, maar dat hij of zij daar niet op heeft gereageerd. Volgens Reiley360 zou de malware sinds een update die in september 2018 uitkwam aanwezig zijn, want daarna begon het datagebruik en dat was het moment van de laatste update.

MegaN64 was een aangepaste kopie van Mupen64, een opensource-N64-emulator die in verschillende vormen op de Play Store staat, maar ook voor andere platformen bestaat. Andere varianten van Mupen64, zoals Mupen64Plus FZ, worden aangeraden als alternatief op MegaN64. Deze wordt bovendien actief onderhouden en de ontwikkelaar is actief op Reddit. Opvallend genoeg heeft deze app volgens de Play Store 'slechts' meer dan 1 miljoen installaties.

MegaN64 Play Store screenshot

Reacties (44)

Ruw ER 4 maart 2019 10:41

Hoe serieus moet ik play protect nemen als het om en nabij een half jaar duurt voordat malware ontdekt wordt.

D0phoofd @Ruw ER • 4 maart 2019 11:09

Vervolg vraag is eigenlijk ook; word code gecontroleerd om na te gaan of apps geen gekke dingen doen?

Na even zoeken kom ik uit bij The Verge die zeggen dat Google dit sinds 2015 doet(?). Kan nergens vinden of dit nog zo is.

Persoonlijk zet ik er nog mijn vraagtekens bij. Heb ook al een tijdje geen Android meer aangeraakt. Dus ik kan er ook niet heel goed over oordelen. Maar als ik dan een bericht als deze lees, trek ik alles weer in twijfel over het platform...

mjz2cool @D0phoofd • 4 maart 2019 13:41

Voor dit soort dingen moet het niet eens nodig zijn om de code te controleren. Als een app zoveel data verstookt en popups opent in je browser zonder dat er een reden voor is moet dat toch wel opvallen bij simpele tests?

theduke1989 @mjz2cool • 4 maart 2019 13:55

Er staat in purchases possible. Dat kan dus ook beteken via website. Dus dan valt het systeem meteen weg.

Daoka @theduke1989 • 4 maart 2019 14:29

Is wel een grote purchase dat dan als het 20 gig aan data is. Onmogelijk niet natuurlijk het is wel erg groot voor telefoons.

theduke1989 @Daoka • 4 maart 2019 17:04

gaat om de manier, als het system ziet kan ook via website, dan denk ik dat het niet gecontroleerd wordt.

Darkstriker @D0phoofd • 4 maart 2019 11:44

Het lijkt me extreem onwaarschijnlijk dat Google code controleert. Zelfs Apple doet dat alleen steekproefgewijs. PlayProtect is niet meer dan een set algoritmes, dat test of de app onverwacht gedrag toont. Klaarblijk niet bijzonder grondig.

DarkBlaze @D0phoofd • 5 maart 2019 09:45

Tjah iOS heeft bijvoorbeeld ook XcodeGhost gehad. Of dit https://www.cultofmac.com...ting-with-malware-server/ dus ik zou zeggen slaap vooral lekker verder, want ook iOS/Apple is niet heilig/veilig

memphis @Ruw ER • 4 maart 2019 12:48

Mja... hoe vaak zie jij een viruscanner voorlopen op de ontwikkeling van virussen?
Ik denk dat dit gewoon nergens is opgevallen hoewel als je beseft dat het al meer dan 1 miljoen downloads kent dat er toch grote klachten hadden moeten zijn.....

bartvincke @memphis • 4 maart 2019 13:01

tegenwoordig zijn er vrij veel virusscanners die 'voorlopen' op de virussen omdat deze geen gebruik maken van signatures maar exploit prevention doen.
in tegenstelling tot virus signaturen zijn er heel weinig bekende mogelijkheden om een exploit te doen en deze zijn controleerbaar .
Elk virus maakt op een of andere manier ook gebruik van een exploit.

100% is het niet maar veel virussen worden als zero day exploit reeds geblokkeerd, niet als zijnde een gekend virus maar omdat ze iets doen met een applicatie/uitvoerbaar bestand wat als exploit gezien wordt of als ongewoon behaviour voor dat type bestanden.

Palo Alto met Traps ( business ) en malwarebytes vanaf v3 ( voor particulier o.a. ) werken bv. zo

TheMightyRecom @Ruw ER • 4 maart 2019 10:46

En dan is het nog niet eens door Play Protect ontdekt, maar via een melding van een gebruiker van de applicatie.

-edit: Typo.

[Reactie gewijzigd door TheMightyRecom op 23 juli 2024 01:48]

dutchgio @Ruw ER • 4 maart 2019 10:49

Op Reddit ging de naam "Google ProtectULater" al de ronde.
Op het moment dat een gebruiker pop-ups krijgt te zien ben je wat mij betreft al te laat, je wilt juist een systeem dat dat kan voorkomen.

mg794613 @Ruw ER • 4 maart 2019 12:55

Best wel serieus. Jij verwacht er alleen iets van waar het niet voor is.

Denk je dat programmeurs hun functies uitbreiden met "dit is een hack functie" comment, zodat google het makkelijk kan vinden?

Dit is natuurlijk op bekende heuristics. Beste is om te letten bij installatie: "Waarom heeft deze app eigenlijk toegang tot m'n agenda nodig" bijvoorbeeld.

mjz2cool @mg794613 • 4 maart 2019 13:58

Het is precies waar play protect voor zou moeten zijn. Dit soort dingen kom je als gebruiker vaak alleen achteraf achter.

Op de website van play protect staat:

"Alle Android-apps worden aan rigoureuze beveiligingstests onderworpen voordat ze in de Google Play Store worden weergegeven. We controleren elke app en ontwikkelaar op Google Play. Als we een app of ontwikkelaar vinden die ons beleid schendt, wordt die app of ontwikkelaar niet meer aangeboden. Bovendien scant Play Protect dagelijks miljarden apps om te controleren of alles nog steeds in orde is. Zo weet je, ongeacht waar je een app downloadt, dat deze is gecontroleerd door Google Play Protect."

Zoiets als dit zou toch wel vrij snel opgevallen moeten zijn voor dit systeem, zeker als het om een populaire app gaat.

Bovendien wordt een app die je download van tevoren al gescant, dan zou dit al helemaal opgevallen moeten zijn.

Bron: https://www.android.com/intl/nl_nl/play-protect/

Uit een reactie van @Libbz : "ESET Mobile Security & Antivirus gaf aan dat het daar vandaan kwam".
Het is dus ook op te merken door virusscanners.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 01:48]

mg794613 @mjz2cool • 4 maart 2019 14:00

Dat is gewoon niet hoe die dingen werken.
Zoals ik al zei; Een programmeur gaat heus niet zijn best doen om aan te geven waar de hack zit. Het tegenovergestelde juist. Dus het hele idee van "play protect, scanned, dus ben ik safe".
Het kan enkel en alleen dingen tegenhouden waar het voor geprogrammeerd is of dingen die daar op lijken.
Het kan en zal niet "nieuwe" vormen detecteren.

mjz2cool @mg794613 • 4 maart 2019 14:09

Het is ook geen nieuwe vorm, en ook zeker wel te detecteren.

mg794613 @mjz2cool • 4 maart 2019 14:16

Je kan wel zeggen dat het geen nieuwe vorm is, maar kennelijk was de fingerprint/heuristic niet beschikbaar eerder. Of wil je beweren dat Google helemaal niet gescanned heeft?

Standeman @mjz2cool • 4 maart 2019 14:26

Blijkbaar weet jij meer. Kan jij implementatie details geven van deze malware? Ik ben ook wel benieuwd naar die sources om te zien op welke wijze ze de google detectiesoftware hebben misleid. Aangezien je dergelijke expertise in huis zegt te hebben, ben ik ook wel benieuwd naar eventuele publicaties van jouw hand betreft dit soort onderwerpen.

[Reactie gewijzigd door Standeman op 23 juli 2024 01:48]

Septimamus @mg794613 • 4 maart 2019 14:14

In hoeverre heb je er dan wat aan? Ik snap best dat mensen denken dat de play protect dit voorkomt ipv oplost. Waarom zou je een app kunnen installeren met malware waarna play protect na een halfjaar pas zegt, niet doen!

Ik snap best dat als je kwaadwillig bent en je malware stopt in je app, je dit diep verbergt. En zoals je zelf al zegt, je blijft altijd zelf verantwoordelijk en je moet na blijven denken over je acties. Zeker online.

Maar zelfs als alle rechten in orde lijken en de app dus al ruim een halfjaar in de store staat, met positieve reviews. Dan mag je er toch eigenlijk wel vanuit gaan dat play protect dit dan ook goed heeft getest en je het veilig kan installeren.

mg794613 @Septimamus • 4 maart 2019 14:18

Omdat meeste kwaadwillende niets zelf schrijven.
Nou die zwakheden stoppen ze in een database en scannen op, waarmee het overgrote merendeel gevangen wordt. Maar dat is natuurlijk niet alles. En zeker niet bij zo'n kat en muis spel van malware.

Mundatin @Ruw ER • 4 maart 2019 14:02

Juist, niet zo heel erg serieus blijkbaar. Tevens vraag ik mij af of Apple ook zo'n systeem heeft om actief te controleren op malware of bestaat malware haast niet op iOS?

Septimamus @Ruw ER • 4 maart 2019 14:09

Volgens mij is de vraag meer, hoe serieus moet je Play Protect nemen als een app met malware überhaupt in de store komt. Allemaal marketing termen. Misschien werkt het wel met het zelfde principe als een malware scanner. Pas nadat het bekend is wordt er gewaarschuwd.

Nees @Ruw ER • 4 maart 2019 14:33

Als zo'n app internet toegang vraagt... Stel ik me eerder vragen. Het is een emulator, moet geen internet access hebben. Die zal ik dan ook toe zetten. Boeit het me niets wat deze app dan nog op de achtergrond wil doen. Maar liever natuurlijk niet

SuperDre @Ruw ER • 4 maart 2019 22:03

Misschien dat de algoritmes om deze malware te detecteren er nu pas in zitten? Het is niet zo simpel om (geautomatiseerd) te bepalen of bepaalde handelingen malware is of niet. Er zijn bv ook antivirus programma's die software verwijderen als ze snel bepaalde type bestanden verwijderen, terwijl dat dus gewoon door handelingen van de gebruiker zelf is en gewoon de standaard winapi's voor gebruikt wordt

Libbz 4 maart 2019 10:46

Klopt. Ik heb de app verwijderd omdat ik continu reclames kreeg in een chrome venster. ESET Mobile Security & Antivirus gaf aan dat het daar vandaan kwam. Ik denk dat ze best veel geld hebben binnengeharkt want volgens mij kwam er ongeveer elke 10 minuten of kwartier zo'n scherm bij. Toen ik genoeg geirriteerd werd om het uit te zoeken stonden er al zo'n 50 chrome tabs open (Ik heb duidelijk geen kort lontje

)

Loggedinasroot @Libbz • 4 maart 2019 11:00

Dit lijkt me heel erg sterk dat het pas in Januari is gaan rollen dan?
Als er 1 tab random bijkomt ga ik mezelf al afvragen wat er aan de hand is. Als dat om de 10minuten gebeurd wordt het een backup maken en factory reset en uitzoeken wat het was.

swtimmer 4 maart 2019 11:11

Ik zou persoonlijk veel banger zijn wat er in hemelsnaam in die 20gb aan data heeft gezeten. Lijkt dan bijna of je of je hele OneDrive hebt geupload of dat je onderdeel bent van een DDOS netwerk.

gimbal 4 maart 2019 11:22

Als ik de reddit threads lees dan was het altijd al een schimmige rip-off app, het zal wel een tactische keuze geweest zijn om de malware pas op het laatste moment toe te voegen, maar al vanaf het eerste moment het doel.

Ik hou het wel bij mijn Retropie voor emulatie doeleinden, mijn telefoon blijft vrij van game-gerelateerde software uitgegeven door partijen waar ik geen ervaring mee heb. Het mag duidelijk zijn dat de Play store geen bescherming biedt.

eltweako 4 maart 2019 11:36

ESET Mobile had vorig jaar deze app al van mijn mobiel gehaald.
Ik heb er toen nog melding van gemaakt bij google, maar heb eigenlijk nooit meer wat terug gehoord.

DragonChaser @eltweako • 4 maart 2019 13:46

Ik ga ook maar ESET installeren dan, doet zn werk beter dan Google zo te horen.

OhMyGod 4 maart 2019 12:23

Dus Google verwijdert op afstand apps van je telefoon.

hubertgruber @OhMyGod • 4 maart 2019 13:33

Toevoegen kan ook. Ga in je desktop-browser eens naar de play-store en download er een paar.

mjz2cool @OhMyGod • 4 maart 2019 14:01

Ja, als er een reden voor is. Dat accepteer je ook als je apps download vanaf de playstore.

Kiswum

Smartphones
Google Android

@OhMyGod • 4 maart 2019 16:11

Volgens mij is dat alleen mogelijk als je automatisch updaten van applicaties, aan hebt staan. Doordat een aantal applicaties vooral aanpassingen aanbrengen die niet voor de gebruiker, maar slechts voor de maker voordelen biedt, heb ik automatische updates uitgeschakeld.

Ik check wel regelmatig of mijn bank apps up-to-date zijn. Als de changelog duidelijk is, dan update ik dergelijke applicaties ook wel.

JohanNL 4 maart 2019 12:28

Blijkt dus maar weer dat je wel degelijk virussen en Trojanen op je systeem kunt krijgen terwijl Google zelf beweert dat dat eigenlijk niet kan, want " playprotect ".
Het kwalijke is nog wel dat het al maanden lang bekend was bij vooral de antivirus makers maar Google dus stil blijft zitten.
Een antivirus lijkt dus ook een essentieel product te zijn op je Android telefoon.

SuperDre @JohanNL • 4 maart 2019 22:05

Tja, dat is met elk platform, ook ios heeft er last van (wel in mindere mate).

ImperatorTiber 4 maart 2019 16:40

Mijn samsung had idd in september of oktober al door dat er malware in de app zat. Maar irritant is dit fucking wel, ik hou van emulators

SuperDre @ImperatorTiber • 4 maart 2019 22:05

Dan installeer je toch een andere...

ImperatorTiber @SuperDre • 5 maart 2019 18:49

Welke is goed dan?

SuperDre @ImperatorTiber • 5 maart 2019 21:55

In het artikel staat bv al een alternatief.

ImperatorTiber @SuperDre • 5 maart 2019 22:00

Sorry! Is niet blijven steken maar ik zie het idd

ShakerNL 4 maart 2019 18:22

Ik heb afgelopen zomer Mario64 gespeeld via deze app. Heb nooit iets vreemds ontdekt, ook niet met data verbruik. Ik bleef me wel irriteren aan de contante malware meldingen van "Device Security" en kon dat ook niet uitzetten. Sinds gisteren inderdaad een popup gezien met de tekst dat de app is verwijderd. Daar gaat m'n savegame

Indir 4 maart 2019 18:46

Indien je van Android apps gebruik maakt op je mobiele telefoon is het verstandig om van services zoals Androlyzer of VirusTotal gebruik te maken en regelmatig de (geïnstalleerde) apps/apks te scannen op verdachte zaken.

Op dit item kan niet meer gereageerd worden.

Populaire N64-emulator MegaN64 is uit Play Store gehaald wegens malware

Lees meer

Reacties (44)

Sorteer op:

Weergave: