Трояны Android.Phantom используют ИИ для накрутки кликов по рекламе
3 мин
57
Специалисты «Доктор Веб» обнаружили новое семейство троянов Android.Phantom. Вредоносы умеют накручивать клики с помощью машинного обучения и видеотрансляций. Все вирусы либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются по команде оттуда.
Трояны распространяются через официальный каталог GetApps для устройств Xiaomi. Среди заражённых — Creation Magic World (32 тыс. скачиваний), Cute Pet House (34 тыс. скачиваний), Amazing Unicorn Party (13 тыс. скачиваний), Академия мечты Сакура (4 тыс. скачиваний), Theft Auto Mafia (61 тыс. скачиваний), Open World Gangsters (11 тыс. скачиваний). Все игры выложены от лица одного разработчика — SHENZHEN RUIREN NETWORK CO., LTD.
В первоначальных версиях вредоносов не было. В конце сентября 2025 года разработчик опубликовал обновления с трояном Android.Phantom.2.origin, работающих в двух режимах: phantom и signaling.
В режиме phantom троян использует скрытый браузер на базе WebView. Туда загружаются целевой сайт для накрутки кликов и файл JavaScript phantom. Последний содержит сценарий автоматизации действий на рекламе и фреймворк машинного обучения TensorFlowJS. Троян размещает браузер на виртуальном экране и делает скриншоты, анализирует их через модель TensorFlowJS, затем кликает по обнаруженным элементам.
В режиме signaling троян подключается к серверу через WebRTC. Сервер hxxps[:]//dllpgd[.]click устанавливает соединения между узлами WebRTC. Android.Phantom.2.origin тайно транслирует злоумышленникам видео виртуального экрана с загруженным сайтом. Троян даёт возможность удалённо управлять браузером: кликать, скроллить, вводить текст.
В октябре игры получили ещё одно обновление. Добавили модуль Android.Phantom.5 — дроппер, который содержит загрузчик Android.Phantom.4.origin. Программа загружает ещё несколько троянов для имитации кликов. Эти модули проще и руководствуются сценариями на JavaScript.
Злоумышленники используют и другие каналы, например, моды Spotify с разблокированными премиум-функциями на сайтах Spotify Plus, Spotify Pro и в телеграм-каналах: Spotify Pro (54 тыс. подписчиков), Spotify Plus – Official (15 тыс. подписчиков).
Кроме Spotify, трояны вшивают в моды YouTube, Deezer, Netflix. Они размещены на сайтах Apkmody и Moddroid. На Moddroid в разделе «Выбор редакции» из 20 приложений только четыре были чистыми, остальные 16 содержали трояны Android.Phantom. Приложения загружаются с одного CDN-сервера. У сайтов есть телеграм-каналы: Moddroid.com (87 тыс. подписчиков), Apkmody Chat (6 тыс. подписчиков). Преступники используют и серверы Discord. Самый большой — Spotify X (24 тыс. подписчиков). Администраторы напрямую предлагают заражённые моды.
По ссылке скачивается рабочий мод. Внутри скрывается троян Android.Phantom.1.origin — загрузчик удалённого кода. По команде с сервера он загружает Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, включая номер телефона, геолокацию, список приложений.
