Die neu entdeckte Android-Schadsoftware-Familie Android.Phantom kombiniert ausgefeilten Klickbetrug mit versteckter Datensammlung. Die Trojaner werden unauffällig in populäre Mobile Games und in modifizierte Versionen von Streaming-Apps eingebettet – und verbreiten sich sowohl über offizielle App-Stores als auch über Piratenseiten, Telegram- und Discord-Kanäle.
Architektur von Android.Phantom: versteckte Browser, KI und Remote-Steuerung
Analysen zeigen, dass alle bekannten Varianten von Android.Phantom über eine Infrastruktur kontrolliert werden, die mit dem Domainnamen hxxps[:]//dllpgd[.]click verknüpft ist. Von dort aus werden Kommandos und weitere Module nachgeladen. Besonders kritisch: Infizierte Apps wurden unter anderem im offiziellen Xiaomi-App-Store GetApps gefunden – darunter Spiele wie Creation Magic World, Cute Pet House, Amazing Unicorn Party, „Sakura Dream Academy“, Theft Auto Mafia und Open World Gangsters.
Diese Games wurden zunächst als legitime Anwendungen veröffentlicht. Erst ein Update Ende September 2025 integrierte den Schädling Android.Phantom.2.origin. Dieses Vorgehen – erst Reputation aufbauen, dann nachträglich Malware per Update einspielen – gilt seit Jahren als gängige Taktik bei Supply-Chain-Angriffen auf App-Stores.
Zwei Betriebsmodi: „phantom“-Modus und „signaling“-Modus
Die Malware arbeitet in zwei Hauptmodi: phantom und signaling. Im Phantom-Modus nutzt der Trojaner einen für den Nutzer unsichtbaren Browser auf Basis von WebView. Über den Steuerungsserver hxxps[:]//playstations[.]click lädt er zielgerichtete Webseiten und ein JavaScript-Modul namens phantom, das Werbeinteraktionen automatisiert.
Bemerkenswert ist der Einsatz von TensorFlowJS, einem Framework für Machine Learning im Browser. Das Modell wird von hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com nachgeladen und in das App-Verzeichnis gelegt. Anschließend erzeugt der Trojaner einen virtuellen Bildschirm, erstellt Screenshots, analysiert diese per KI und klickt automatisch auf erkannte Werbeelemente. So entsteht ein realistisch wirkendes Klickverhalten – ein signifikanter Fortschritt gegenüber klassischen, leicht erkennbaren Klick-Bots.
Im signaling-Modus kommt WebRTC zum Einsatz, eine Technologie für direkte Peer-to-Peer-Verbindungen. Der Domain hxxps[:]//dllpgd[.]click dient als Signalisierungsserver, um Verbindungen auszuhandeln und den Betriebsmodus zu steuern. Aufgaben mit Zielseiten werden erneut über hxxps[:]//playstations[.]click übermittelt. Die Malware überträgt dann ein Videostreaming des virtuellen Bildschirms an die Angreifer, die den versteckten Browser in Echtzeit fernsteuern, scrollen, klicken und Texteingaben vornehmen können.
Verbreitungswege: GetApps, Spotify-Mods, Piraten-APK und Discord
Am 15. und 16. Oktober 2025 erhielten die betroffenen Spiele ein weiteres Update mit dem Modul Android.Phantom.5. Dieses fungiert als Dropper und bringt den Loader Android.Phantom.4.origin mit. Ziel ist es, zusätzliche Klicker-Trojaner ohne KI- und Video-Funktionen nachzuladen, die rein auf JavaScript-Skripten basieren – technisch einfacher, für die Betreiber aber weiterhin profitabel.
Eine Besonderheit von Android.Phantom ist die Nutzung von WebRTC auf Android. Dafür ist eine zusätzliche native Bibliothek mit Java-API nötig, die standardmäßig nicht in der Firmware enthalten ist. In frühen Phasen setzte die Kampagne vor allem auf den Phantom-Modus. Mit Android.Phantom.5 und Android.Phantom.4.origin wurde die Malware jedoch in die Lage versetzt, die benötigte Bibliothek automatisch herunterzuladen und den Signaling-Modus breit auszurollen.
Neben GetApps bildet eine zweite grosse Schiene die Verbreitung über modifizierte APKs von Spotify mit angeblich freigeschalteten Premium-Funktionen. Diese werden über Webseiten und Telegram-Kanäle wie „Spotify Pro“ oder „Spotify Plus – Official“ verteilt, die teils zehntausende Abonnenten haben. In diesen Mod-APK steckt Android.Phantom.2.origin zusammen mit einer bereits integrierten WebRTC-Bibliothek. Ähnliche Techniken kommen bei Mods von YouTube, Deezer, Netflix und anderen populären Diensten zum Einsatz, die auf Plattformen wie Apkmody und Moddroid bereitgestellt werden.
Auf Moddroid waren nach Expertenangaben von 20 Apps im Bereich „Editor’s Choice“ lediglich vier sauber, während 16 Anwendungen Varianten von Android.Phantom enthielten. Die Verteilung der APKs auf beiden Seiten erfolgt über denselben CDN-Dienst hxxps[:]//cdn[.]topmongo[.]com. Zusätzlich werden die Angebote durch die Telegram-Kanäle „Moddroid.com“ und „Apkmody Chat“ beworben.
Ein weiteres Element der Kampagne sind Discord-Server. Der grosse Server „Spotify X“ mit rund 24.000 Mitgliedern dient zur direkten Verbreitung infizierter Mods. Administratoren empfehlen dort „funktionierende“ Alternativen zu Deezer oder Spotify und teilen Links zu APK-Dateien. In einem Fall enthielt ein durch einen kommerziellen Packer geschützter Deezer-Mod den Trojaner Android.Phantom.1.origin, der auf Befehl von hxxps[:]//dllpgd[.]click Android.Phantom.2.origin, Android.Phantom.5 sowie das Spionage-Modul Android.Phantom.5.origin nachlädt. Letzteres exfiltriert Telefonnummer, Standortdaten und die Liste installierter Apps. Besonders betroffen sind laut Beobachtungen Nutzer in spanisch-, französisch-, deutsch-, polnisch- und italienischsprachigen Communities.
Warum Android.Phantom eine besonders hohe Bedrohung darstellt
Android.Phantom vereint mehrere Trends moderner Mobil-Malware: versteckte WebView- und WebRTC-Nutzung, KI-gestützte Simulation menschlicher Interaktionen und eine klar modulare Architektur aus Droppern und dynamisch nachgeladenen Komponenten. Diese Kombination erschwert Erkennung und Analyse und ermöglicht den Betreibern, ihre Klickbetrugs-Infrastruktur flexibel zu skalieren und parallel sensible Daten abzugreifen.
Hinzu kommt der psychologische Faktor: Die Malware verbreitet sich über Games und „kostenlose Premium“-Mods – Angebote, die insbesondere für Jugendliche und junge Erwachsene attraktiv sind. In Regionen mit eingeschränktem Zugang zu internationalen Diensten oder komplizierter Bezahlsituation steigt erfahrungsgemäss die Bereitschaft, auf inoffizielle APKs und Piraten-Kataloge auszuweichen. Cyberkriminelle nutzen dieses Verhalten gezielt aus.
Praxisnahe Schutzmassnahmen gegen Android-Trojaner und infizierte Mods
Um das Risiko einer Infektion mit Android-Trojanern wie Android.Phantom zu minimieren, sollten Apps möglichst nur aus offiziellen Quellen wie Google Play oder den vertrauenswürdigen Hersteller-Stores bezogen werden. Modifizierte Versionen mit freigeschalteten Premium-Funktionen sind grundsätzlich als Hochrisiko-Software zu betrachten, auch wenn sie von bekannten Administratoren oder Influencern empfohlen werden.
Links zu APK-Dateien in Telegram-, Discord-Kanälen, auf nicht überprüften Webseiten oder Foren sollten mit besonderer Vorsicht behandelt werden. Ergänzend dazu gehören zu einer soliden digitalen Hygiene: regelmässige Updates von Betriebssystem und Apps, der Einsatz einer anerkannten Mobile-Security-Lösung, die Aktivierung von Google Play Protect (falls verfügbar), eine kritische Prüfung angeforderter Berechtigungen sowie die Beobachtung von Auffälligkeiten wie ungewöhnlich hohem Datenverbrauch, schneller Akkuentladung oder spontanen Browser- und Werbeeinblendungen.
Eltern sollten das Thema App-Sicherheit gezielt mit ihren Kindern ansprechen, die Risiken vermeintlich „kostenloser Premium“-Angebote erklären und bei Bedarf technische Schutzmassnahmen wie Kinder- und Jugendschutzfunktionen oder eingeschränkte Installationsrechte aktivieren. Langfristig trägt eine höhere Sensibilisierung der Nutzer dazu bei, Kampagnen wie Android.Phantom ihre wichtigste Ressource zu entziehen: massenhaft unkritische Installationen aus inoffiziellen Quellen.
