- Автор темы
- #1
Исследователи «Доктор Веб» сообщают о новом семействе троянов-кликеров для Android. Все вредоносы из этой группы либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и запускаются по команде оттуда. Одним из каналов распространения малвари стал официальный каталог приложений для устройств Xiaomi — GetApps.
Аналитики отследили несколько зараженных этой малварью игр: Creation Magic World (более 32 000 загрузок), Cute Pet House (свыше 34 000), Amazing Unicorn Party (больше 13 000), Академия мечты Сакура (более 4000), Theft Auto Mafia (свыше 61 000) и Open World Gangsters (больше 11 000). Все они опубликованы от лица одного разработчика — SHENZHEN RUIREN NETWORK CO., LTD. Малварь встроена прямо в код приложений и запускается вместе с ними.
Отмечается, что изначально все эти игры были «чистыми», но 28-29 сентября 2025 года разработчик выпустил обновления со встроенным трояном Android.Phantom.2.origin. Этот вредонос работает в двух режимах — signaling (сигнализация) и phantom (фантом).
В режиме phantom троян использует скрытый от пользователя браузер на базе WebView. По команде с сервера hxxps[:]//playstations[.]click в него загружается целевой сайт для накрутки кликов и JavaScript-файл phantom. Этот скрипт содержит сценарий для автоматизации действий с рекламными объявлениями и фреймворк машинного обучения TensorFlowJS.
Модель для фреймворка подгружается с hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. При работе с некоторыми видами рекламы троян размещает браузер на виртуальном экране, делает скриншоты, анализирует их через TensorFlowJS и кликает по найденным элементам.
В режиме signaling троян подключается к стороннему серверу через WebRTC. В этом случае hxxps[:]//dllpgd[.]click выступает сигнальным сервером, который устанавливает соединения между узлами WebRTC и определяет режим работы малвари. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click, после чего троян транслирует своим операторам видео виртуального экрана с загруженным сайтом и дает возможность удаленно управлять браузером — кликать, скроллить и вводить текст.
15-16 октября прошлого года вредоносные игры получили еще одно обновление с модулем Android.Phantom.5 — дроппером, содержащим загрузчик Android.Phantom.4.origin. Эта программа подгружает дополнительную малварь для имитации кликов на сайтах. Исследователи отмечают, что они проще основного кликера — работают без машинного обучения и видеотрансляций, используя только JavaScript-сценарии.
Для работы с WebRTC на Android требуется специальная библиотека с Java API, которой нет в стандартной ОС. Поэтому поначалу троян работал в основном в режиме phantom. Но после добавления Android.Phantom.5 вредонос получил возможность использовать загрузчик Android.Phantom.4.origin для скачивания нужной библиотеки.
Подчеркивается, что злоумышленники распространяют малварь не только через GetApps. Второй крупный канал — моды музыкального стриминга Spotify с разблокированными premium-функциями. Их выкладывают на отдельных сайтах и в Telegram-каналах. К примеру, Spotify Pro (54 400 подписчиков) и Spotify Plus - Official (15 057 подписчиков). Моды из этих источников содержат Android.Phantom.2.origin и библиотеку для WebRTC.
Также атакующие внедряют трояны в моды YouTube, Deezer, Netflix и других популярных приложений. Такие модифицированные версии размещаются на сайтах Apkmody и Moddroid. Как пишут эксперты, на Moddroid есть раздел «Выбор редакции» — из 20 приложений в нем лишь четыре оказались чистыми, а остальные 16 содержали трояны семейства Android.Phantom.
Загрузка на обоих сайтах осуществляется с одного CDN — hxxps[:]//cdn[.]topmongo[.]com. Кроме того, у этих сайтов есть свои Telegram-каналы: Moddroid.com (87 653 подписчика) и Apkmody Chat (6 297 подписчиков).
Еще один канал распространения малвари — серверы Discord. Самый крупный из них — Spotify X, насчитывает около 24 000 подписчиков. Администраторы серверов напрямую предлагают пользователям зараженные моды. Например, один из админов советовал скачать мод Deezer вместо Spotify, поскольку последний перестал работать.
По ссылке из Discord действительно загружался рабочий мод, код которого защищен коммерческим упаковщиком, а внутри скрывается троян Android.Phantom.1.origin — загрузчик кода. По команде с hxxps[:]//dllpgd[.]click он подгружает уже знакомые Android.Phantom.2.origin, Android.Phantom.5, а также спайварь Android.Phantom.5.origin. Последний отправляет атакующим информацию об устройстве жертвы: номер телефона, геолокацию, список установленных приложений.
Статистика с одного из Discord-серверов показывает географию жертв, так как для доступа к чатам на разных языках необходимо поставить реакцию с соответствующим флагом. Судя по этим данным, больше всего пострадали пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, так как это основной язык сервера). Кроме того, администраторы сервера не предусмотрели отдельных чатов для многих стран Азии.
Исследователи заключают, что семейство Android.Phantom представляет угрозу для Android-устройств. А российские пользователи сталкиваются с трудностями при регистрации в зарубежных сервисах и оплате подписок, что подталкивает их искать альтернативные, часто полулегальные способы получения услуг. Чем и пользуются злоумышленники. Особая группа риска — это дети, которые не задумываются о цифровой гигиене, когда хотят поиграть, послушать музыку или посмотреть видео.
Аналитики отследили несколько зараженных этой малварью игр: Creation Magic World (более 32 000 загрузок), Cute Pet House (свыше 34 000), Amazing Unicorn Party (больше 13 000), Академия мечты Сакура (более 4000), Theft Auto Mafia (свыше 61 000) и Open World Gangsters (больше 11 000). Все они опубликованы от лица одного разработчика — SHENZHEN RUIREN NETWORK CO., LTD. Малварь встроена прямо в код приложений и запускается вместе с ними.
Отмечается, что изначально все эти игры были «чистыми», но 28-29 сентября 2025 года разработчик выпустил обновления со встроенным трояном Android.Phantom.2.origin. Этот вредонос работает в двух режимах — signaling (сигнализация) и phantom (фантом).
В режиме phantom троян использует скрытый от пользователя браузер на базе WebView. По команде с сервера hxxps[:]//playstations[.]click в него загружается целевой сайт для накрутки кликов и JavaScript-файл phantom. Этот скрипт содержит сценарий для автоматизации действий с рекламными объявлениями и фреймворк машинного обучения TensorFlowJS.
Модель для фреймворка подгружается с hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. При работе с некоторыми видами рекламы троян размещает браузер на виртуальном экране, делает скриншоты, анализирует их через TensorFlowJS и кликает по найденным элементам.
В режиме signaling троян подключается к стороннему серверу через WebRTC. В этом случае hxxps[:]//dllpgd[.]click выступает сигнальным сервером, который устанавливает соединения между узлами WebRTC и определяет режим работы малвари. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click, после чего троян транслирует своим операторам видео виртуального экрана с загруженным сайтом и дает возможность удаленно управлять браузером — кликать, скроллить и вводить текст.
15-16 октября прошлого года вредоносные игры получили еще одно обновление с модулем Android.Phantom.5 — дроппером, содержащим загрузчик Android.Phantom.4.origin. Эта программа подгружает дополнительную малварь для имитации кликов на сайтах. Исследователи отмечают, что они проще основного кликера — работают без машинного обучения и видеотрансляций, используя только JavaScript-сценарии.
Для работы с WebRTC на Android требуется специальная библиотека с Java API, которой нет в стандартной ОС. Поэтому поначалу троян работал в основном в режиме phantom. Но после добавления Android.Phantom.5 вредонос получил возможность использовать загрузчик Android.Phantom.4.origin для скачивания нужной библиотеки.
Подчеркивается, что злоумышленники распространяют малварь не только через GetApps. Второй крупный канал — моды музыкального стриминга Spotify с разблокированными premium-функциями. Их выкладывают на отдельных сайтах и в Telegram-каналах. К примеру, Spotify Pro (54 400 подписчиков) и Spotify Plus - Official (15 057 подписчиков). Моды из этих источников содержат Android.Phantom.2.origin и библиотеку для WebRTC.
Также атакующие внедряют трояны в моды YouTube, Deezer, Netflix и других популярных приложений. Такие модифицированные версии размещаются на сайтах Apkmody и Moddroid. Как пишут эксперты, на Moddroid есть раздел «Выбор редакции» — из 20 приложений в нем лишь четыре оказались чистыми, а остальные 16 содержали трояны семейства Android.Phantom.
Загрузка на обоих сайтах осуществляется с одного CDN — hxxps[:]//cdn[.]topmongo[.]com. Кроме того, у этих сайтов есть свои Telegram-каналы: Moddroid.com (87 653 подписчика) и Apkmody Chat (6 297 подписчиков).
Еще один канал распространения малвари — серверы Discord. Самый крупный из них — Spotify X, насчитывает около 24 000 подписчиков. Администраторы серверов напрямую предлагают пользователям зараженные моды. Например, один из админов советовал скачать мод Deezer вместо Spotify, поскольку последний перестал работать.
По ссылке из Discord действительно загружался рабочий мод, код которого защищен коммерческим упаковщиком, а внутри скрывается троян Android.Phantom.1.origin — загрузчик кода. По команде с hxxps[:]//dllpgd[.]click он подгружает уже знакомые Android.Phantom.2.origin, Android.Phantom.5, а также спайварь Android.Phantom.5.origin. Последний отправляет атакующим информацию об устройстве жертвы: номер телефона, геолокацию, список установленных приложений.
Статистика с одного из Discord-серверов показывает географию жертв, так как для доступа к чатам на разных языках необходимо поставить реакцию с соответствующим флагом. Судя по этим данным, больше всего пострадали пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, так как это основной язык сервера). Кроме того, администраторы сервера не предусмотрели отдельных чатов для многих стран Азии.
Исследователи заключают, что семейство Android.Phantom представляет угрозу для Android-устройств. А российские пользователи сталкиваются с трудностями при регистрации в зарубежных сервисах и оплате подписок, что подталкивает их искать альтернативные, часто полулегальные способы получения услуг. Чем и пользуются злоумышленники. Особая группа риска — это дети, которые не задумываются о цифровой гигиене, когда хотят поиграть, послушать музыку или посмотреть видео.