Los troyanos de la familia Android.Phantom penetran en smartphones junto con juegos y mods piratas de aplicaciones populares. Usan aprendizaje automático y transmisiones de vídeo para la generación fraudulenta de clics

Amenazas corrientes | Últimas noticias | Todas las noticias

21 de enero de 2025

Los expertos del laboratorio antivirus de Doctor Web detectaron e investigaron una nueva familia de troyanos con funcionalidad de clicker. Tienen una peculiaridad en común: se administran desde el servidor hxxps[:]//dllpgd[.]click, o se cargan y se ejecutan por comando del mismo. El malware de este tipo infecta smartphones con SO Android.

Uno de los canales de propagación de troyanos es un catálogo oficial de aplicaciones para dispositivos Xiaomi GetApps.

#drweb #drweb 

Hemos conseguido rastrear varios juegos móviles que contienen malware: Creation Magic World (más de 32 mil descargas), Cute Pet House (>34 mil descargas), Amazing Unicorn Party (>13 mil descargas), Academia de sueños Sakura (>4 mil descargas), Theft Auto Mafia (>61 mil descargas), Open World Gangsters (>11 mil descargas). Todos los juegos infectados se publicaron en nombre de un solo desarrollador, SHENZHEN RUIREN NETWORK CO., LTD.; los troyanos están incrustados en ellos y se ejecutan junto con las aplicaciones.

En las versiones iniciales de los juegos no había malware. El 28/29 de septiembre, el desarrollador publica actualizaciones para los juegos que tienen incrustado el troyano Android.Phantom.2.origin. Funciona en dos modos, que en el código del programa se llaman modo de señalización (signaling) y phantom.

En el modo phantom, el malware utiliza un navegador integrado basado en el widget WebView, oculto para el usuario. En el mismo, por orden del servidor hxxps[:]//playstations[.]click, se carga el sitio objetivo para la generación fraudulenta de clics y el archivo JavaScript «phantom». Este último contiene un script para automatizar acciones sobre los anuncios publicitarios del sitio cargado y el framework de aprendizaje automático TensorFlowJS. El modelo para este framework se descarga desde el servidor hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com al directorio de la aplicación. En los scripts para trabajar con algunos tipos de publicidad, Android.Phantom.2.origin coloca el navegador en una pantalla virtual y hace capturas de pantalla. El troyano las analiza mediante el modelo para el framework TensorFlowJS y, después, hace clic en los elementos detectados.

En el modo alternativo signaling, el troyano se conecta a un servidor de terceros mediante WebRTC. Esta tecnología permite a navegadores y aplicaciones establecer una conexión directa para intercambiar datos, audio y vídeo en tiempo real sin instalar software adicional. En el modo signaling, el ya mencionado hxxps[:]//dllpgd[.]click actúa como servidor de señalización, que establece las conexiones entre los nodos WebRTC. Además, este servidor determina el modo de funcionamiento del troyano, phantom o signaling. Las tareas con los sitios objetivo llegan desde hxxps[:]//playstations[.]click. A continuación, Android.Phantom.2.origin, de forma oculta para el usuario, transmite a los atacantes el vídeo de la pantalla virtual con el sitio cargado en el navegador. El troyano permite que el nodo WebRTC conectado controle de forma remota el navegador en la pantalla virtual: hacer clic, desplazarse, introducir o pegar texto en el formulario de entrada.

El 15/16 de octubre, los juegos mencionados recibieron otra actualización. Además de Android.Phantom.2.origin, se incrustó en ellos el módulo Android.Phantom.5. Este actúa como dropper y contiene en su interior el cargador de código remoto Android.Phantom.4.origin. Este programa descarga varios troyanos más, destinados a imitar clics en distintos sitios. Estos módulos son más básicos que el clicker Android.Phantom.2.origin: no usan aprendizaje automático ni transmisiones de vídeo, sino que se guían por scripts de clic escritos en JavaScript.

Para usar la tecnología WebRTC en Android, el troyano necesita conectar una biblioteca especial con Java API, que no forma parte del sistema operativo estándar ni de las aplicaciones descargadas. Por ello, al principio el troyano funcionaba principalmente en modo phantom. Al incrustar Android.Phantom.5 a las aplicaciones, el troyano Android.Phantom.2.origin ya pudo usar el cargador de código remoto Android.Phantom.4.origin para descargar la biblioteca necesaria.

Los malintencionados también usan otros canales de propagación de troyanos Android.Phantom.2.origin y Android.Phantom.5. Por ejemplo, mods del servicio de streaming musical Spotify con las funciones premium desbloqueadas. Se publican en distintos sitios web; aquí pueden consultarse algunos ejemplos:

#drweb 

Sitio web Spotify Plus

#drweb 

Sitio web Spotify Pro

Y en canales de Telegram especiales:

#drweb 

Spotify Pro
(54 400 suscriptores)

#drweb 

Spotify Plus – Official
(15 057 suscriptores)

Los mods de Spotify, publicados en sitios web y en los canales de Telegram indicados en las capturas de pantalla, contienen Android.Phantom.2.origin y la biblioteca para establecer la comunicación mediante el estándar WebRTC en Android.

Además de los mods de Spotify, los atacantes incrustan troyanos en mods de otras aplicaciones populares: YouTube, Deezer, Netflix, etc. Están publicados en sitios especializados en mods:

#drweb 

Sitio web Apkmody

#drweb 

Sitio web Moddroid

El sitio Moddroid tiene una sección «Selección del editor». De las 20 aplicaciones incluidas, solo 4 estaban limpias. Las otras 16 contenían troyanos de la familia Android.Phantom. Las aplicaciones de estos dos sitios se descargan desde un mismo servidor CDN hxxps[:]//cdn[.]topmongo[.]com. Estos sitios tienen sus propios canales de Telegram, donde los usuarios descargan mods infectados con troyanos:

#drweb 

Moddroid.com
(87 653 suscriptores)

#drweb 

Apkmody Chat
(6 297 suscriptores)

Además, para sus fines los delincuentes utilizan servidores de Discord. El más grande de ellos es Spotify X, con unos 24 mil suscriptores.

#drweb 
#drweb 

Los administradores de los servidores de Discord no dudan en ofrecer directamente los mods infectados. Por ejemplo, en la captura de pantalla anterior, el administrador, en nombre del servidor, propone descargar un mod del servicio de streaming musical Deezer en vez de Spotify, ya que este último dejó de funcionar.

A través del enlace se descarga un mod operativo. Su código está protegido por un empaquetador comercial; dentro se oculta el troyano Android.Phantom.1.origin. Se trata de un cargador de código remoto que, por orden del servidor hxxps[:]//dllpgd[.]click, descarga los ya conocidos Android.Phantom.2.originAndroid.Phantom.5 y el troyano espía Android.Phantom.5.origin. Este último envía información del dispositivo a los atacantes, incluido el número de teléfono, la geolocalización y la lista de aplicaciones instaladas.

#drweb 

Esta captura de pantalla del servidor muestra en qué idiomas hablan los usuarios objetivo de la infección. Para acceder a los chats en idiomas distintos del inglés, es necesario reaccionar con la bandera correspondiente. Los más numerosos son los usuarios que hablan español, francés, alemán, polaco e italiano (sin tomar en cuenta el inglés, que es el idioma principal del servidor). Además, los administradores del servidor no han previsto chats para muchos países de Asia.

Los troyanos pueden causar un daño considerable a los propietarios de los dispositivos infectados. Podrían darse, entre otros, los siguientes casos:

  • Complicidad involuntaria. El smartphone del usuario puede utilizarse como bot en un ataque DDoS, por lo tanto, su titular se convierte en un cómplice involuntario de un ciberdelito.
  • Actividad ilegal. A través del dispositivo, los atacantes pueden realizar actividad ilegal en línea; por ejemplo, usar el smartphone en esquemas de fraude o enviar mensajes de spam.
  • Consumo elevado de batería y tráfico. La actividad ajena descarga la batería y consume tráfico de Internet.
  • Filtración de datos personales. Android.Phantom.5.origin es un spyware y puede transmitir datos sobre el dispositivo y su titular.

Los troyanos de esta familia suponen una amenaza para los titulares de dispositivos móviles Android que no están protegidos con un software antivirus actualizado. Los usuarios rusos tienen dificultades para registrarse en aplicaciones extranjeras o pagar suscripciones. La situación empuja a buscar y utilizar formas alternativas, a menudo semiclandestinas, de obtener los servicios de estas empresas. Esto favorece a los creadores de malware, ya que los usuarios se ven obligados a asumir riesgos y a confiar en opciones dudosas. Un grupo especialmente vulnerable son los niños, que no piensan en las normas de higiene digital y solo quieren jugar, escuchar música o ver videoclips.

Recomendamos no descargar mods en sitios y canales dudosos. Por lo general, comprobar las fuentes de mods o aplicaciones requiere tiempo, experiencia y criterio. Por eso, la mejor forma de garantizar tranquilidad para uno mismo y sus seres queridos es usar Dr.Web Security Space en dispositivos móviles. Protegerá no solo sus smartphones, sino también otros dispositivos inteligentes: consolas de videojuegos, tabletas y smart TV.

Indicadores de compromiso
Más información sobre Android.Phantom.1.origin
Más información sobre Android.Phantom.2.origin
Más información sobre Android.Phantom.3
Más información sobre Android.Phantom.4.origin
Más información sobre Android.Phantom.5
Más información sobre Android.Phantom.5.origin

0
Últimas noticias Todas las noticias