Un nuevo familia de malware para Android, identificada como Android.Phantom, está siendo utilizada en campañas de fraude publicitario y robo silencioso de datos personales. Este troyano se esconde en juegos populares y en versiones modificadas de aplicaciones de streaming, distribuidas tanto a través de tiendas oficiales como de sitios piratas, canales de Telegram y servidores de Discord, lo que incrementa de forma significativa su alcance potencial.
Qué es Android.Phantom y por qué es especialmente peligroso
Android.Phantom es un troyano clicker modular diseñado para simular de forma automática el comportamiento de usuarios reales al interactuar con anuncios, y en paralelo recolectar información sensible del dispositivo comprometido. A diferencia de muchos malware móviles tradicionales, recurre a tecnologías avanzadas como WebRTC y TensorFlowJS para hacer más creíble la actividad fraudulenta y dificultar su detección por parte de sistemas antifraude y soluciones de seguridad.
Las variantes detectadas se controlan desde una infraestructura asociada al dominio hxxps[:]//dllpgd[.]click, que actúa como centro de mando y control (C2). Desde allí se orquestan tanto la descarga de nuevos módulos maliciosos como la activación de diferentes modos de trabajo del troyano.
Arquitectura de Android.Phantom: dos modos de operación y uso de IA
Modo «phantom»: fraude de clics con WebView y TensorFlowJS
En el modo phantom, el malware emplea un navegador oculto basado en WebView. Por orden de otro dominio vinculado a la campaña, hxxps[:]//playstations[.]click, el troyano carga en segundo plano páginas web con anuncios y un script JavaScript malicioso (phantom). Este script incorpora TensorFlowJS, una biblioteca de aprendizaje automático en JavaScript.
La modelos de IA se descargan desde hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com y se almacenan en el directorio de la app comprometida. A continuación, Android.Phantom crea una especie de “pantalla virtual”, toma capturas de esa superficie, las analiza con TensorFlowJS para localizar elementos publicitarios y realiza clics automatizados sobre ellos. Esta aproximación, basada en visión por computador, permite imitar gestos humanos y reduce la probabilidad de que las plataformas de publicidad detecten el fraude.
Modo «signaling»: control remoto del navegador con WebRTC
En el modo signaling, el troyano utiliza WebRTC, un estándar para comunicaciones en tiempo real, para establecer conexiones entre pares. El dominio hxxps[:]//dllpgd[.]click funciona como servidor de señalización, negociando las sesiones y determinando el modo de trabajo.
Una vez recibidas nuevas tareas desde hxxps[:]//playstations[.]click, el malware comparte con los atacantes un stream de vídeo de la pantalla virtual y les permite controlar el navegador remoto: pueden hacer clic, desplazarse por las páginas o introducir texto en tiempo real. Para Android, el uso de WebRTC requiere una biblioteca nativa con API Java que no forma parte de la instalación estándar, de modo que el troyano descarga dinámicamente este componente para habilitar la funcionalidad de control remoto.
Canales de distribución: GetApps, APK piratas y servidores de Discord
Juegos comprometidos en la tienda GetApps de Xiaomi
Uno de los vectores más relevantes ha sido la tienda oficial GetApps de Xiaomi. Investigadores localizaron versiones infectadas de juegos como Creation Magic World, Cute Pet House, Amazing Unicorn Party, «Академия мечты Сакура», Theft Auto Mafia y Open World Gangsters, publicados por el desarrollador SHENZHEN RUIREN NETWORK CO., LTD. Inicialmente legítimos, estos títulos recibieron a finales de septiembre de 2025 actualizaciones que incorporaban el módulo Android.Phantom.2.origin.
Entre el 15 y el 16 de octubre de 2025, los mismos juegos fueron actualizados con un nuevo componente, Android.Phantom.5, que actúa como dropper e incluye el cargador Android.Phantom.4.origin. Su función es descargar troyanos clicker adicionales, menos complejos (sin IA ni vídeo), pero igualmente orientados a la monetización fraudulenta.
Mods de Spotify y otras apps en Telegram, sitios de APK y Discord
El segundo gran canal de infección son los APK modificados de Spotify con funciones premium desbloqueadas, difundidos a través de webs y canales de Telegram con nombres como “Spotify Pro” o “Spotify Plus – Official”. Estas versiones integran Android.Phantom.2.origin y una biblioteca WebRTC ya embebida. Un enfoque similar se observa en mods de YouTube, Deezer, Netflix y otros servicios populares, publicados en repositorios como Apkmody y Moddroid. Según el análisis citado, en Moddroid solo 4 de las 20 apps de la sección “Selección del editor” estaban limpias; las demás albergaban variantes de Android.Phantom. La descarga en ambas plataformas se canaliza a través del mismo CDN: hxxps[:]//cdn[.]topmongo[.]com.
La campaña también se apoya en servidores de Discord. En el servidor Spotify X, con unos 24 000 miembros, se recomiendan “versiones alternativas” de Deezer o Spotify con enlaces directos a APK infectados. Uno de estos mods de Deezer, protegido con un empaquetador comercial, esconde Android.Phantom.1.origin, que a su vez descarga Android.Phantom.2.origin, Android.Phantom.5 y el módulo espía Android.Phantom.5.origin. Este último envía a los atacantes el número de teléfono, la geolocalización y el listado de apps instaladas, con especial impacto en usuarios hispanohablantes, francófonos, germanoparlantes, polacos e italianos.
Riesgos para los usuarios: fraude publicitario y pérdida de privacidad
Android.Phantom combina fraude de clics a gran escala con capacidades de espionaje. Además del perjuicio económico a los anunciantes y a las redes publicitarias —el fraude de anuncios digitales mueve globalmente decenas de miles de millones de dólares al año según estimaciones del sector—, las víctimas sufren consumos anómalos de datos y batería, degradación del rendimiento del dispositivo y exposición de información sensible que puede ser utilizada para perfilado, ingeniería social o ataques dirigidos.
La distribución a través de juegos, mods “premium gratis” y contenido de entretenimiento orientado a jóvenes aumenta la superficie de ataque. En entornos donde existen restricciones a servicios internacionales o dificultades para pagar suscripciones, muchos usuarios recurren a APK de procedencia dudosa, lo que los convierte en un objetivo ideal para este tipo de campañas.
Cómo proteger tu dispositivo Android frente a Android.Phantom y malware similar
Para reducir la probabilidad de infección por troyanos Android clicker como Android.Phantom es recomendable:
1. Priorizar siempre que sea posible las tiendas oficiales (Google Play, catálogos del fabricante) y evitar APK de sitios desconocidos, foros, canales de Telegram o Discord, incluso si son recomendados por administradores o creadores de contenido populares.
2. Desconfiar de las versiones modificadas de apps de pago o con funciones premium desbloqueadas (Spotify, Deezer, YouTube, Netflix, etc.), uno de los vectores preferidos por los operadores de Android.Phantom.
3. Mantener el sistema operativo y las aplicaciones actualizadas, activar Google Play Protect cuando esté disponible y utilizar una solución de seguridad móvil de un proveedor reconocido, capaz de detectar comportamientos de clicker y módulos de descarga encubierta.
4. Revisar con atención los permisos solicitados por las apps (ubicación, acceso a SMS, lectura de lista de contactos) y estar atento a signos de infección: incremento brusco del consumo de datos, calentamiento del dispositivo, batería que se agota con rapidez o aparición de ventanas de navegador y anuncios sin explicación.
5. En el ámbito familiar, hablar con menores y adolescentes sobre los riesgos de los “mods gratis” y, si es necesario, aplicar controles parentales que limiten la instalación de software desde fuentes no verificadas.
La aparición de Android.Phantom confirma la rápida evolución del malware móvil y su capacidad para aprovechar tecnologías avanzadas como WebRTC y aprendizaje automático. Adoptar hábitos de descarga responsables, evitar APK modificados y reforzar las defensas del dispositivo son pasos esenciales para reducir la superficie de ataque y mantener el control sobre la seguridad y la privacidad en Android.
