Трояны Android.Phantom заражают смартфоны через игры и пиратские моды, используя ИИ и видеотрансляции для накрутки кликов

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и проанализировали новое семейство вредоносных программ для Android, получившее общее название Android.Phantom. Эти трояны обладают функциональностью кликера, заражают мобильные устройства и используются для скрытой накрутки рекламных кликов и удаленного управления браузером.

Все исследованные образцы объединяет общая инфраструктура управления: вредоносные приложения либо напрямую взаимодействуют с сервером управления hxxps[:]//dllpgd[.]click, либо загружаются и активируются по команде с него. Основная цель такой активности — имитация действий пользователя в браузере и выполнение заданий на рекламных и партнерских сайтах без ведома владельца устройства.

Распространение через игры и магазины приложений

Одним из каналов распространения Android.Phantom стал официальный магазин приложений для устройств Xiaomi — GetApps. Анализ показал, что трояны были встроены в несколько мобильных игр, опубликованных от имени одного разработчика — SHENZHEN RUIREN NETWORK CO., LTD.

Среди выявленных зараженных игр:

• Creation Magic World (более 32 тыс. установок);
• Cute Pet House (более 34 тыс.);
• Amazing Unicorn Party (более 13 тыс.);
• Академия мечты Сакура (более 4 тыс.);
• Theft Auto Mafia (свыше 61 тыс.);
• Open World Gangsters (более 11 тыс.).

Примечательно, что первоначальные версии этих приложений были безопасны. Вредоносный код появился только после обновлений, выпущенных в конце сентября, когда в игры был встроен троян Android.Phantom.2.origin.

Два режима работы вредоносного ПО

Троян Android.Phantom.2.origin функционирует в двух режимах, условно обозначаемых как phantom и signaling.

Режим phantom основан на использовании скрытого от пользователя браузера, работающего через компонент WebView. По команде с сервера hxxps[:]//playstations[.]click в него загружается целевой сайт и JavaScript-модуль «phantom», который автоматизирует клики по рекламным элементам. В состав скрипта входит фреймворк машинного обучения TensorFlowJS.

Модель машинного обучения загружается с удаленного сервера и применяется для анализа скриншотов виртуального экрана. Троян распознает элементы рекламы на изображениях и автоматически взаимодействует с ними, имитируя действия реального пользователя.

Режим signaling использует технологию WebRTC. В этом случае сервер hxxps[:]//dllpgd[.]click выполняет роль сигнального узла, а задания с целевыми сайтами поступают от hxxps[:]//playstations[.]click. Троян тайно транслирует злоумышленникам видео виртуального экрана и предоставляет возможность удаленного управления браузером: кликов, прокрутки страниц и ввода текста.

Развитие угрозы и дополнительные модули

В середине октября зараженные игры получили новые обновления. Помимо Android.Phantom.2.origin, в них был добавлен модуль Android.Phantom.5, выполняющий роль дроппера. Он содержит загрузчик удаленного кода Android.Phantom.4.origin, предназначенный для установки дополнительных кликер-модулей.

Эти вспомогательные компоненты работают по упрощенным сценариям на JavaScript и не используют машинное обучение или видеотрансляции, однако позволяют масштабировать накрутку кликов.

Добавление дроппера также позволило трояну загружать дополнительные библиотеки, необходимые для работы WebRTC, которые отсутствуют в стандартной поставке Android.

Пиратские моды и мессенджеры

Помимо игр, трояны Android.Phantom активно распространяются через модифицированные версии популярных приложений. Чаще всего это пиратские сборки Spotify с разблокированными premium-функциями, размещенные на сторонних сайтах, в Telegram-каналах и на Discord-серверах с десятками тысяч подписчиков.

Аналогичные зараженные моды выявлены и для других сервисов, включая YouTube, Deezer и Netflix. В ряде случаев внутри APK-файлов скрываются дополнительные загрузчики, такие как Android.Phantom.1.origin, которые устанавливают кликеры и шпионские модули.

Чем это опасно для пользователей

Заражение устройствами Android.Phantom может привести к серьезным последствиям:

• Невольное участие в кибератаках — смартфон может использоваться как бот в DDoS-атаках;
• Незаконная онлайн-активность — устройство применяется для мошенничества или рассылки спама;
• Повышенное потребление ресурсов — ускоренный разряд аккумулятора и рост интернет-трафика;
• Утечка персональных данных — шпионские модули передают информацию об устройстве и владельце.

Почему риск остается высоким

Ограничения на оплату подписок и регистрацию в зарубежных сервисах подталкивают пользователей к установке неофициальных модов и взломанных приложений. Такая практика значительно повышает вероятность заражения мобильных устройств вредоносным ПО.

Особую группу риска составляют дети и подростки, которые устанавливают игры и моды, не задумываясь о последствиях для цифровой безопасности.

Рекомендации по защите

Эксперты рекомендуют избегать загрузки приложений и модов с сомнительных сайтов, а также из Telegram-каналов и Discord-сообществ. Проверка происхождения APK-файлов требует опыта и времени, поэтому наиболее надежный способ защиты — использование актуального антивирусного ПО.

Компания «Доктор Веб» отметила, что Dr.Web Security Space для Android позволяет выявлять и блокировать трояны семейства Android.Phantom, предотвращая скрытую активность, утечку данных и несанкционированное использование ресурсов устройства. Мобильный антивирус защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.