Trojan della famiglia Android.Phantom entrano negli smartphone insieme a giochi e mod pirata di popolari applicazioni. Utilizzano il machine learning e streaming video per l'aumento artificiale dei clic

Minacce attuali di virus | Notizie "calde" | Tutte le notizie

21 gennaio 2026

Gli specialisti del laboratorio antivirus Doctor Web hanno rilevato e studiato una nuova famiglia di trojan con funzionalità di clicker. Li accomuna una particolarità: o vengono gestiti da un server con il nome hxxps[:]//dllpgd[.]click, o vengono scaricati ed eseguiti su suo comando. Il malware di questo tipo infetta gli smartphone con SO Android.

Uno dei canali di distribuzione dei trojan è lo store di applicazioni ufficiale per i dispositivi Xiaomi GetApps.

#drweb #drweb 

Abbiamo potuto identificare più giochi mobili contenenti il malware: Creation Magic World (oltre 32mila download), Cute Pet House (>34mila download), Amazing Unicorn Party (>13mila download), Akademia mechty Sakura (>4mila download), Theft Auto Mafia (>61mila download), Open World Gangsters (>11mila download). Tutti i giochi infetti sono pubblicati a nome di uno stesso sviluppatore, SHENZHEN RUIREN NETWORK CO., LTD., i trojan sono incorporati in essi e vengono avviati insieme alle app.

Le versioni originali dei giochi non contenevano il malware. Il 28/29 settembre lo sviluppatore pubblica aggiornamenti per i giochi, in cui è incorporato il trojan Android.Phantom.2.origin. Esso funziona in due modalità che nel codice del programma sono condizionalmente chiamate modalità segnalazione (signaling) e fantasma (phantom).

In modalità phantom il software malevolo utilizza un browser incorporato su base del widget WebView, nascosto all'utente. In esso, su comando da un server con il nome hxxps[:]//playstations[.]click, viene caricato un sito target per l'aumento artificiale dei clic e un file JavaScript "phantom". Quest'ultimo contiene uno scenario per l'automazione delle attività sugli annunci pubblicitari del sito caricato e il framework di machine learning TensorFlowJS. Un modello per questo framework viene scaricato dal server hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com nella directory dell'applicazione. Negli scenari per l'elaborazione di alcune tipologie di pubblicità, Android.Phantom.2.origin posiziona il browser su uno schermo virtuale e cattura screenshot. Il trojan li analizza con l'ausilio del modello per il framework TensorFlowJS, e quindi fa clic sugli elementi identificati.

In modalità alternativa signaling il trojan si connette a un server estraneo tramite WebRTC. Questa tecnologia consente ai browser e applicazioni di instaurare una connessione diretta per lo scambio di dati, audio e video in tempo reale senza installazione di ulteriori software. In modalità signaling il server già menzionato hxxps[:]//dllpgd[.]click il ruolo di server di segnalazione, stabilendo connessioni tra nodi WebRTC. Inoltre, questo server determina la modalità di funzionamento del trojan, phantom o signaling. I task con i siti target arrivano da hxxps[:]//playstations[.]click. Quindi Android.Phantom.2.origin all'oscuro dell'utente trasmette ai malintenzionati il video dello schermo virtuale con il sito caricato nel browser. Il trojan dà la possibilità al nodo connesso WebRTC di gestire in remoto il browser sullo schermo virtuale: fare clic, scorrimenti, digitare o incollare testi in moduli di input.

Il 15/16 ottobre i suddetti giochi hanno ricevuto un altro aggiornamento. In aggiunta a Android.Phantom.2.origin, è stato incorporato in essi un modulo denominato Android.Phantom.5. È un dropper che contiene al suo interno un downloader di codice remoto Android.Phantom.4.origin. Questo programma scarica altri trojan ancora, progettati per simulare clic su vari siti web. Questi moduli sono più semplici del clicker Android.Phantom.2.origin — non utilizzano il machine learning o lo streaming video, ma si appoggiano sugli scenari per l'esecuzione di clic, scritti in JavaScript.

Per utilizzare la tecnologia WebRTC su Android, il trojan deve connettere una libreria speciale con Java API che non fa parte del SO standard e delle applicazioni scaricate. Pertanto, inizialmente il trojan funzionava prevalentemente in modalità phantom. Con l'aggiunta alle applicazioni di Android.Phantom.5, il trojan Android.Phantom.2.origin ha ricevuto la possibilità di utilizzare il downloader di codice remoto Android.Phantom.4.origin per scaricare la libreria richiesta.

I malintenzionati utilizzano anche altri canali di distribuzione dei trojan Android.Phantom.2.origin e Android.Phantom.5. Ad esempio, mod dello streaming di musica Spotify con funzionalità premium sbloccate. Vengono pubblicate su vari siti web, eccone alcuni esempi:

#drweb 

Sito Spotify Plus

#drweb 

Sito Spotify Pro

E in canali Telegram speciali:

#drweb 

Spotify Pro
(54.400 iscritti)

#drweb 

Spotify Plus – Official
(15.057 iscritti)

Le mod Spotify collocate sui siti e nei canali Telegram indicati sugli screenshot contengono Android.Phantom.2.origin e la libreria per l'organizzazione della comunicazione secondo lo standard WebRTC su Android.

Oltre alle mod Spotify, i malintenzionati incorporano i trojan in mod di altre applicazioni popolari: YouTube, Deezer, Netflix ecc. Sono pubblicate su siti speciali con mod:

#drweb 

Sito Apkmody

#drweb 

Sito Moddroid

Il sito Moddroid contiene una sezione "Scelta della redazione". Di 20 applicazioni in essa elencate solo 4 erano pulite. Le altre 16 contenevano i trojan della famiglia Android.Phantom. Le app su questi due siti vengono scaricate da uno stesso server CDN hxxps[:]//cdn[.]topmongo[.]com. Questi siti hanno i propri canali Telegram dove gli utenti scaricano le mod infette dai trojan:

#drweb 

Moddroid.com
(87.653 iscritti)

#drweb 

Apkmody Chat
(6.297 iscritti)

Inoltre, per i loro scopi i criminali utilizzano anche server Discord. Il più grande di essi è Spotify X, circa 24mila iscritti.

#drweb 
#drweb 

Gli amministratori dei server Discord non esitano ad offrire direttamente le mod infette. Ad esempio, sullo screenshot sopra, un amministratore a nome del server suggerisce di scaricare una mod dello streaming musicale Deezer invece di Spotify, in quanto quest'ultima non funziona.

Al link viene scaricato una mod funzionante. Il suo codice è protetto da un packer commerciale, all'interno del quale è nascosto il trojan Android.Phantom.1.origin. Questo è un downloader di codice remoto, su comando del server hxxps[:]//dllpgd[.]click esso scarica i malware che già conosciamo Android.Phantom.2.originAndroid.Phantom.5 e il trojan spia Android.Phantom.5.origin. Quest'ultimo invia informazioni sul dispositivo ai malintenzionati, incluso il numero di telefono, la geolocalizzazione, la lista di app installate.

#drweb 

Questo screenshot dal server mostra quali lingue parlano gli utenti che diventano bersaglio di infezione. Per accedere alle chat in lingue diverse dall'inglese, è necessario mettere una reazione con la bandiera corrispondente. Il numero di utenti maggiore ha segnato lo spagnolo, francese, tedesco, polacco e italiano (senza contare l'inglese che è la lingua principale del server). Inoltre, gli amministratori del server non hanno previsto chat per molti paesi di Asia.

I trojan possono arrecare un significativo danno ai proprietari dei dispositivi infetti. Elenchiamo alcuni possibili esiti:

  • Complicità involontaria. Lo smartphone dell'utente può essere utilizzato come bot in un attacco DDoS, rendendo con ciò il proprietario complice involontario in un crimine cyber.
  • Attività illegale. Tramite il dispositivo, i malintenzionati possono commettere attività online illegali, ad esempio, utilizzare lo smartphone in schemi fraudolenti o inviare messaggi spam.
  • Consumo eccessivo di batteria e traffico. Le attività estranee scaricano la batteria e consumano il traffico internet.
  • Fuga di dati personali. Android.Phantom.5.origin è una spia e può trasmettere dati sul dispositivo e proprietario.

I trojan di questa famiglia rappresentano una minaccia per i proprietari di dispositivi mobili Android non protetti da un software antivirus aggiornato. Gli utenti russi riscontrano difficoltà con la registrazione in applicazioni e il pagamento di abbonamenti esteri. La situazione spinge a cercare e utilizzare metodi alternativi, spesso semi-legali, per l'ottenimento dei servizi di tali aziende. Questa situazione è favorevole agli autori di virus, in quanto gli utenti devono rischiare e fidarsi di varianti dubbie. Un gruppo a rischio particolare sono i bambini che non pensano alle regole dell'igiene digitale, volendo solo giocare, ascoltare musica o guardare videoclip.

Vi consigliamo di non scaricare mod su siti e in canali dubbi. Di regola, la verifica di fonti di mod o app richiede tempo, esperienza ed esperienza visiva accumulata. Pertanto, la migliore variante per procurare a sé stessi e ai propri cari una tranquillità garantita è utilizzare Dr.Web Security Space per dispositivi mobili. Esso proteggerà non solo i vostri smartphone, ma anche altri dispositivi intelligenti: console di gioco, tablet, smart TV.

Indicatori di compromissione
Maggiori informazioni su Android.Phantom.1.origin
Maggiori informazioni su Android.Phantom.2.origin
Maggiori informazioni su Android.Phantom.3
Maggiori informazioni su Android.Phantom.4.origin
Maggiori informazioni su Android.Phantom.5
Maggiori informazioni su Android.Phantom.5.origin

0
Ultime notizie Tutte le notizie