На Android-платформе выявлено новое семейство вредоносных программ Android.Phantom, специализирующееся на накрутке рекламных кликов и скрытом сборе данных. Опасность этой кампании в том, что вредонос встраивается в популярные игры и модифицированные версии приложений, распространяемые как через официальные каталоги, так и через пиратские сайты, Telegram- и Discord-каналы.
Новое семейство троянов Android.Phantom: архитектура и механика атаки
По данным исследователей, все обнаруженные варианты Android.Phantom управляются с инфраструктуры, связанной с доменом hxxps[:]//dllpgd[.]click, либо загружаются по его командам. Одним из ключевых каналов стал официальный магазин приложений для устройств Xiaomi — GetApps, где были обнаружены заражённые игры Creation Magic World, Cute Pet House, Amazing Unicorn Party, «Академия мечты Сакура», Theft Auto Mafia и Open World Gangsters. Эти проекты, опубликованные от имени разработчика SHENZHEN RUIREN NETWORK CO., LTD, изначально были «чистыми», но в конце сентября 2025 года получили обновления с внедрённым трояном Android.Phantom.2.origin.
Два режима работы Android.Phantom: phantom и signaling
Троянец функционирует в двух основных режимах — phantom и signaling. В режиме phantom он использует скрытый от пользователя браузер на базе WebView. По команде с сервера hxxps[:]//playstations[.]click в этот скрытый браузер загружается целевая веб-страница и JavaScript-скрипт phantom. Скрипт отвечает за автоматизацию действий с рекламой и включает фреймворк TensorFlowJS для машинного обучения. Модель подгружается по ссылке hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения, после чего троян создаёт виртуальный экран, делает скриншоты, анализирует их через TensorFlowJS и кликает по найденным рекламным элементам, имитируя поведение живого пользователя.
В режиме signaling троян задействует технологию WebRTC для установления одноранговых соединений. Домен hxxps[:]//dllpgd[.]click выступает в роли сигнального сервера, помогая устанавливать соединения и задавать режим работы. Задания с целевыми сайтами приходят снова с hxxps[:]//playstations[.]click; далее малварь транслирует операторам видео виртуального экрана и позволяет удалённо управлять браузером: выполнять клики, прокрутку и ввод текста в реальном времени.
Каналы распространения: GetApps, моды Spotify, пиратские APK и Discord
15–16 октября 2025 года заражённые игры получили новое обновление с модулем Android.Phantom.5, который выступает дроппером и содержит загрузчик Android.Phantom.4.origin. Задача этого компонента — догружать дополнительные трояны-кликеры без машинного обучения и видеотрансляций: они работают только на JavaScript-сценариях, оставаясь проще, но не менее доходными для операторов.
Особенность Android.Phantom в том, что для работы WebRTC на Android требуется дополнительная нативная библиотека с Java API, отсутствующая в стандартной прошивке. На ранних этапах кампания опиралась главным образом на режим phantom, но с появлением Android.Phantom.5 и загрузчика Android.Phantom.4.origin троян получил возможность автоматически скачивать нужную библиотеку и активно использовать signaling-режим.
Распространение не ограничивается GetApps. Вторым крупным каналом стали модифицированные APK Spotify с разблокированными premium-функциями, распространяемые через сайты и Telegram-каналы вроде «Spotify Pro» и «Spotify Plus — Official», насчитывающие десятки тысяч подписчиков. Эти моды содержат Android.Phantom.2.origin и уже встроенную библиотеку WebRTC. Аналогичный подход используется для модов YouTube, Deezer, Netflix и других популярных сервисов, публикуемых на площадках Apkmody и Moddroid. На Moddroid, по данным экспертов, из 20 приложений раздела «Выбор редакции» только четыре оказались чистыми, тогда как остальные шестнадцать содержали трояны семейства Android.Phantom. Загрузка APK на обоих сайтах идёт через единый CDN — hxxps[:]//cdn[.]topmongo[.]com, а продвижению способствуют Telegram-каналы Moddroid.com и Apkmody Chat.
Отдельное направление кампании — Discord-серверы. Крупный сервер Spotify X (около 24 000 участников) используется для прямого распространения заражённых модов: администраторы рекомендуют пользователям альтернативные версии Deezer или Spotify и дают ссылки на «рабочие» APK. Один из таких модов Deezer, защищённый коммерческим упаковщиком, скрывает троян Android.Phantom.1.origin, который по команде с hxxps[:]//dllpgd[.]click догружает Android.Phantom.2.origin, Android.Phantom.5, а также шпионский модуль Android.Phantom.5.origin, отправляющий злоумышленникам номер телефона, геолокацию и список установленных приложений. Наблюдения за распределением языковых чатов показали, что особенно сильно поражены пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках.
Почему Android.Phantom представляет повышенную угрозу
Семейство Android.Phantom сочетает несколько опасных черт: скрытое использование WebView и WebRTC, применение TensorFlowJS для имитации человеческого поведения при кликах по рекламе и гибкую модульную архитектуру с дропперами и загрузчиками. Всё это усложняет обнаружение и позволяет злоумышленникам масштабировать кликфрод и параллельно собирать чувствительные данные с устройств жертв.
Отдельный риск заключается в том, что вредонос распространяется через развлекательные приложения и «бесплатные» моды, особенно привлекательные для подростков. В российских реалиях дополнительным фактором становятся ограничения на работу зарубежных сервисов и сложность оплаты подписок, что стимулирует пользователей искать полулегальные обходные пути — моды, сторонние APK и пиратские каталоги, которыми активно пользуются киберпреступники.
Как защитить Android-устройство от троянов-кликеров и заражённых модов
Для снижения риска заражения Android-троянами рекомендуется, по возможности, устанавливать приложения только из официальных магазинов (Google Play, фирменные каталоги вендоров) и критично относиться к модифицированным версиям программ с разблокированными платными функциями. Ссылки на APK из Telegram-, Discord-каналов, непроверенных сайтов и форумов должны восприниматься как источник повышенной опасности, даже если их публикуют популярные администраторы или блогеры.
Практики базовой цифровой гигиены включают регулярные обновления ОС и приложений, использование авторитетного антивирусного решения, активацию Google Play Protect (при наличии), внимательную проверку запрашиваемых разрешений и мониторинг аномалий — резкого роста потребления трафика, быстрой разрядки аккумулятора, самопроизвольного открытия браузера или рекламы. Родителям следует обсуждать с детьми тему безопасности приложений, объяснять риски «бесплатного Premium» и, при необходимости, использовать средства родительского контроля.
События вокруг Android.Phantom демонстрируют, насколько быстро киберпреступники адаптируются к новым условиям и используют интерес пользователей к играм и стриминговым сервисам в корыстных целях. Повышение осведомлённости, отказ от сомнительных модов и сторонних APK, а также использование современных средств защиты — ключевые шаги, которые помогают существенно снизить вероятность заражения и сохранить контроль над своими Android-устройствами.
