На Android-платформі зафіксовано нове сімейство шкідливих програм Android.Phantom, яке поєднує приховану накрутку рекламних кліків (клікфрод) та збір чутливих даних. Особливість кампанії в тому, що троян вбудовують у популярні ігри та модифіковані версії додатків, які поширюються як через офіційні каталоги, так і через піратські сайти, Telegram- та Discord-канали.
Архітектура Android.Phantom та механіка атаки
За даними дослідників, усі виявлені варіанти Android.Phantom керуються з інфраструктури, пов’язаної з доменом hxxps[:]//dllpgd[.]click, або завантажуються за його командами. Одним із ключових векторів став офіційний магазин Xiaomi GetApps, де були знайдені заражені ігри Creation Magic World, Cute Pet House, Amazing Unicorn Party, «Академія мрії Сакура», Theft Auto Mafia та Open World Gangsters. Спочатку ці програми публікувалися як легітимні, однак наприкінці вересня 2025 року отримали оновлення з вбудованим модулем Android.Phantom.2.origin.
Режим phantom: прихований WebView та TensorFlowJS для клікфроду
У режимі phantom троян запускає прихований від користувача браузер на базі WebView. За командами з сервера hxxps[:]//playstations[.]click у цей прихований браузер завантажується цільова вебсторінка та JavaScript-скрипт phantom. Скрипт відповідає за автоматизацію взаємодії з рекламою та використовує фреймворк TensorFlowJS для машинного навчання. Модель підтягується з hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com до каталогу додатка, після чого троян створює віртуальний екран, робить скриншоти, аналізує їх за допомогою TensorFlowJS і клікає по рекламних елементах, імітуючи поведінку реальної людини.
Така емуліція дій користувача ускладнює виявлення клікфроду як з боку антивірусних рішень, так і з боку рекламних платформ, які зазвичай відстежують нехарактерні шаблони поведінки ботів.
Режим signaling: WebRTC та віддалене керування браузером
У режимі signaling Android.Phantom застосовує технологію WebRTC для встановлення однорангових (p2p) з’єднань. Домен hxxps[:]//dllpgd[.]click виступає сигнальним сервером, який допомагає узгодити параметри з’єднання й задати режим роботи трояна. Завдання з цільовими сайтами надходять знову з hxxps[:]//playstations[.]click, після чого шкідлива програма транслює операторам відео віртуального екрана та дозволяє віддалено керувати вбудованим браузером: виконувати кліки, прокрутку та вводити текст у режимі реального часу.
Для роботи WebRTC на Android потрібна окрема нативна бібліотека з Java API, якої немає у стандартній прошивці. Це робить використання signaling-режиму додатковим технічним кроком, але одночасно дає зловмисникам значно більший контроль над пристроєм жертви.
Ланцюжок зараження та канали поширення: GetApps, моди Spotify, піратські APK і Discord
У жовтні 2025 року заражені ігри в GetApps отримали нове оновлення з модулем Android.Phantom.5. Цей компонент виконує роль дроппера і містить завантажувач Android.Phantom.4.origin, призначений для підвантаження додаткових троянів-клікерів. Вони вже не використовують машинне навчання та відеотрансляції, а працюють лише на JavaScript-сценаріях, залишаючись простішими, але все ще економічно вигідними для операторів.
Завдяки Android.Phantom.5 та Android.Phantom.4.origin троян навчився автоматично завантажувати необхідну бібліотеку WebRTC, що дало змогу активно застосовувати signaling-режим без участі користувача.
Другий великий канал поширення — модифіковані APK Spotify з розблокованими premium-функціями, які поширюються через сайти та Telegram-канали на кшталт «Spotify Pro» і «Spotify Plus – Official». Такі збірки містять Android.Phantom.2.origin та вже інтегровану WebRTC-бібліотеку. Аналогічний підхід використовується для модів YouTube, Deezer, Netflix та інших популярних сервісів, опублікованих на платформах Apkmody та Moddroid. За оцінкою дослідників, у розділі «Вибір редакції» Moddroid із 20 додатків лише чотири були «чистими», тоді як решта містили модифікації Android.Phantom. Завантаження APK на обох сайтах здійснюється через спільний CDN hxxps[:]//cdn[.]topmongo[.]com, а трафік підсилюють Telegram-канали Moddroid.com і Apkmody Chat.
Окремий напрям кампанії — Discord-сервери. Великий сервер Spotify X (приблизно 24 000 учасників) використовується для безпосереднього поширення заражених модів: адміністратори радять «альтернативні» версії Deezer або Spotify та надають посилання на нібито «робочі» APK. Один із таких модів Deezer, захищений комерційним пакувальником, приховує модуль Android.Phantom.1.origin, який за командами з hxxps[:]//dllpgd[.]click догружає Android.Phantom.2.origin, Android.Phantom.5, а також шпигунський компонент Android.Phantom.5.origin. Останній відправляє операторам номер телефону, геолокацію та список встановлених додатків. Особливо сильно уражені спільноти з іспаномовними, франкомовними, німецькомовними, польськомовними та італомовними користувачами.
Чому Android.Phantom становить підвищену загрозу
Сімейство Android.Phantom поєднує кілька технічно складних підходів: приховане використання WebView і WebRTC, застосування TensorFlowJS для імітації «людських» кліків по рекламі та модульну архітектуру з дропперами та завантажувачами. Така комбінація ускладнює виявлення трояна традиційними засобами захисту і дозволяє масштабувати клікфрод, паралельно збираючи цінні дані з пристроїв жертв.
Додатковий ризик полягає в тому, що шкідливі модулі вбудовуються переважно в розважальні додатки й «безкоштовні» моди з розблокованими функціями, які особливо приваблюють підлітків та користувачів, що не готові платити за легальні підписки. В умовах обмежень доступу до деяких стримінгових сервісів та складнощів із міжнародними платежами багато хто шукає напівлегальні альтернативи — саме цим активно користуються кіберзлочинці.
Як захистити Android-пристрій від троянів-клікерів і шкідливих модів
Щоб знизити ризик зараження Android-троянами, варто максимально обмежити встановлення програм джерелами на кшталт Google Play і офіційних магазинів виробників. Моди з «безкоштовним Premium», завантажені з Telegram-, Discord-каналів, піратських сайтів і форумів, слід розглядати як потенційно небезпечні, навіть якщо їх рекламують популярні адміністратори чи блогери.
Практики базової цифрової гігієни включають регулярне оновлення ОС і програм, використання авторитетного мобільного антивіруса, активацію Google Play Protect (за наявності), уважну перевірку запитуваних дозволів та моніторинг аномалій: раптового зростання трафіку, швидкої розрядки акумулятора, мимовільного відкриття браузера чи нав’язливої реклами. Батькам варто обговорювати з дітьми безпеку мобільних додатків, пояснювати ризики «free premium» і за потреби застосовувати засоби батьківського контролю.
Історія з Android.Phantom демонструє, наскільки швидко кіберзлочинці адаптуються до інтересів користувачів — від мобільних ігор до музичних і відеострімінгових сервісів. Відмова від піратських модів, критичне ставлення до сторонніх APK, підвищення обізнаності та використання сучасних засобів захисту помітно знижують ймовірність зараження та допомагають зберегти контроль над вашим Android-пристроєм.
