Эксперты «Доктор Веб» обнаружили вредоносные мобильные приложения, которые имитируют популярные игры. Злоумышленники используют вредонос, относящийся к семейству троянов, для накрутки кликов по рекламе, превращая устройства жертв в мобильный ботнет.
Трояны Android.Phantom скликивают рекламу для получения нелегального дохода: злоумышленники зарабатывают на партнерских комиссиях и выплатах от рекламных сетей за фиктивный трафик, имитируя реальные просмотры и клики.
В маркетплейсы, среди которых GetApps (Xiaomi), мошенники загружали «чистые» версии мобильных приложений, однако в конце сентября 2025 года вместе с обновлением они внедрили в них вредонос Android.Phantom.2.origin, затем, спустя месяц, — Android.Phantom.5.
Вот список зараженных приложений:
- Theft Auto Mafia — имитация GTA-игр, >61 тыс. установок;
- Cute Pet House — игра по принципу тамагочи, >34 тыс. установок;
- Creation Magic World — мимикрирует под Майнкрафт, >32 тыс. установок;
- Amazing Unicorn Party — тамагочиподобная игра с единорогами, >13 тыс. установок;
- Open World Gangsters — аналогично Theft Auto Mafia, >11 тыс. установок;
- Академия мечты Сакура — симулятор в аниме-стиле, >4 тыс. установок.
Для совершенствования атак злоумышленники внедрили машинное обучение с двумя режимами:
- В режиме phantom троян запускает скрытый браузер на базе WebView, загружает целевые сайты и JavaScript-модуль с фреймворком TensorFlow.js по команде с C2-сервера (playstations.click). Модель машинного обучения анализирует скриншоты виртуального экрана, распознает рекламные элементы и скликивает их, обходя скриптовые детекторы.
- В режиме signaling применяется WebRTC для видеотрансляции экрана на сервер (dllpgd[.]click), который позволяет операторам удаленно управлять браузером: кликать, скроллить контент и вводить текст.
Более поздние версии обновлений имеют дополнительный вредоносный модуль, способный загружать другие трояны, включая шпионское ПО. Так мошенники получают доступ к информации об устройстве жертвы, номере телефона, геолокации и списку установленных приложений.
По словам экспертов «Доктор Веб», аналогичные трояны распространяются и через модифицированные версии популярных сервисов, включая YouTube, Spotify, Deezer и Netflix, которые распространяются злоумышленниками через сторонние сайты и Telegram-каналы.
Специалисты по кибербезопасности не рекомендуют загружать приложения со сторонних сайтов и из мессенджеров, советуют следить за играми, которые дети устанавливают на устройства, и регулярно проверять работу устройства с помощью антивирусных программ. Как понять, что смартфон на Android заражен, мы рассказали ранее в нашем блоге.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только.
