Uma campanha de malware para Android usa jogos para dispositivos móveis e versões modificadas de aplicativos de streaming populares para infectar aparelhos.
A ameaça, conhecida como Android.Phantom, emprega tecnologia de aprendizado de máquina para realizar fraudes automatizadas de cliques em anúncios em smartphones infectados, e sua sofisticação técnica a torna praticamente indetectável para redes de publicidade tradicionais.
Mais de 155 mil dispositivos já foram comprometidos pelo trojan que usa inteligência artificial para imitar cliques humanos e gerar receita fraudulenta sem que as vítimas percebam.
Como funciona a campanha
A equipe de pesquisa da Dr.Web identificou o Android.Phantom ao investigar comportamentos anômalos em aplicativos para Android. Os pesquisadores detectaram mais de 155 mil downloads de jogos comprometidos, com infecções adicionais se espalhando por meio de versões modificadas do Spotify, YouTube, Netflix e Deezer distribuídas em plataformas não oficiais.
O malware se propaga por múltiplos canais de distribuição. Uma das fontes de infecção foi a loja oficial GetApps para dispositivos Xiaomi, onde seis jogos infectados do desenvolvedor SHENZHEN RUIREN NETWORK CO., LTD. foram descobertos.
Os aplicativos inicialmente foram lançados completamente limpos, sem qualquer código malicioso. No entanto, depois de uma atualização no final de setembro os apps tiveram o trojan Android.Phantom inserido de forma silenciosa, infectando usuários que já haviam baixado as versões legítimas dos jogos.
Malware opera em dois modos distintos
Os pesquisadores da Dr.Web observaram que o Android.Phantom opera usando dois modos distintos – phantom e signaling. O malware se conecta a servidores de comando controlados por invasores que ditam seus padrões de comportamento, permitindo que os criminosos ajustem às operações remotamente conforme necessário.
A ameaça consiste em vários componentes interconectados e modulares. O Android.Phantom.2.origin serve como variante principal, posteriormente aprimorada pelo Android.Phantom.5, que funciona como dropper, um malware especializado em entregar outros códigos maliciosos.
Esses carregadores recuperam módulos adicionais de fraude de cliques projetados especificamente para diferentes plataformas de publicidade. Essa arquitetura modular permite que os atacantes atualizem e expandam as capacidades do malware sem precisar redistribuir aplicativos infectados.
Inteligência artificial dificulta detecção da fraude
O modo phantom representa a capacidade mais avançada e sofisticada do malware. O design incorpora o TensorFlowJS, uma estrutura de aprendizado de máquina desenvolvida pelo Google que permite identificação inteligente e clique automatizado de elementos publicitários exibidos em navegadores ocultos executando em dispositivos infectados.
O Android.Phantom.2.origin implanta um navegador oculto baseado na tecnologia WebView, o mesmo componente usado por aplicativos legítimos para exibir conteúdo web. O navegador carrega sites de destino conforme orientado pelos servidores de comando, permanecendo completamente invisível para o usuário.
O malware então injeta scripts de automação JavaScript junto com a estrutura TensorFlowJS no navegador oculto. Um modelo de inteligência artificial baixado de servidores externos analisa capturas de tela de páginas web capturadas de uma tela virtual, identificando componentes de anúncios clicáveis através de reconhecimento visual.
IA imita comportamento humano para burlar detecção
A abordagem inteligente do Android.Phantom imita comportamento genuíno de usuário, tornando os cliques fraudulentos significativamente mais difíceis de serem detectados pelas redes de publicidade em comparação com scripts automatizados básicos.
Scripts simples de fraude de cliques costumam seguir padrões previsíveis, clicando em elementos na mesma posição, com intervalos regulares ou velocidades irrealistas. Redes de publicidade detectam facilmente esses padrões e bloqueiam a receita de anúncios fraudulentos.
O modelo de IA do Android.Phantom, no entanto, introduz variações naturais nos cliques, ajustando tempo de resposta, movimentos do cursor, padrões de scroll e até cometendo “erros” ocasionais, exatamente como um usuário humano faria. Essa sofisticação torna a fraude praticamente indistinguível de interações legítimas.
Enquanto o navegador oculto processa anúncios em segundo plano, o usuário continua usando o celular normalmente, sem perceber que seu dispositivo está gerando receita fraudulenta para criminosos através de cliques automatizados em propagandas.
Distribuição massiva através de canais alternativos
Além das lojas oficiais, a distribuição se estende para sites dedicados a modding de aplicativos, canais do Telegram que atraem dezenas de milhares de assinantes e servidores Discord, onde administradores promovem ativamente downloads infectados.
Esses canais costumam oferecer versões “premium” gratuitas de aplicativos pagos, versões modificadas com recursos desbloqueados ou jogos com “moedas infinitas”.
As versões piratas de aplicativos de streaming como Spotify e Netflix prometem acesso gratuito a conteúdo premium, enquanto as versões modificadas do YouTube oferecem recursos como reprodução em segundo plano e bloqueio de anúncios.
Xiaomi removeu aplicativos infectados da GetApps
Após a divulgação da Dr.Web, os seis jogos infectados foram removidos da loja GetApps. No entanto, usuários que já haviam baixado esses jogos continuam infectados até que desinstalem manualmente os aplicativos comprometidos.
A GetApps é a loja oficial de aplicativos pré-instalada em dispositivos Xiaomi, Redmi e POCO vendidos em diversos mercados. Embora seja uma loja legítima operada pela Xiaomi, o incidente demonstra que nenhuma plataforma está completamente imune a malware sofisticado que consegue passar por verificações de segurança iniciais.
Como se proteger
Diante da sofisticação do Android.Phantom e da dificuldade em detectá-lo, especialistas recomendam as seguintes medidas de proteção.
- Evite fontes não oficiais: nunca baixe aplicativos de sites de modding, canais do Telegram ou servidores Discord. Versões modificadas ou piratas de apps populares são veículos comuns para distribuição de malware, independentemente de quão confiável o site ou canal pareça ser;
- Verifique o desenvolvedor: mesmo em lojas oficiais, confira cuidadosamente o desenvolvedor dos aplicativos antes de instalar. O caso dos jogos infectados na GetApps demonstra que até lojas legítimas podem ocasionalmente hospedar malware, especialmente quando criminosos conseguem publicar apps limpos e infectá-los através de atualizações posteriores;
- Use antivírus confiável: mantenha sempre uma solução de segurança instalada e atualizada no smartphone. Antivírus conseguem detectar comportamentos anômalos como navegadores ocultos executando em segundo plano ou conexões suspeitas com servidores de comando;
- Fique atento a sinais de infecção: bateria drenando mais rápido que o normal, celular esquentando sem uso intenso, consumo inexplicável de dados móveis ou desempenho degradado podem indicar presença de malware executando operações em segundo plano;
- Não desative o Google Play Protect: esse sistema de segurança integrado verifica aplicativos continuamente em busca de comportamentos maliciosos, mesmo após instalação. Desabilitá-lo para instalar apps modificados deixa o dispositivo completamente vulnerável.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.