Masz telefon Xiaomi? Ważny komunikat

Badacze cyberbezpieczeństwa zidentyfikowali niebezpieczne trojany dystrybuowane m.in. przez oficjalny sklep Xiaomi - GetApps. Zamiast klasycznych skryptów klikających w określone miejsca w ekranie, malware używa TensorFlow.js do analizy obrazu i rozpoznawania elementów reklam. Następnie "klika" on je zupełnie tak, jakby kliknął je użytkownik.

Tryb działania tego malware określany jest jako "phantom". Wykorzystuje on ukrytą przeglądarką opartą na WebView. Jej zadaniem jest ładowanie stron z reklamami. Następnie aplikacja wykonuje zrzuty ekranu. Kolejno za pomocą sztucznej inteligencji są one analizowane. Wraz z rozpoznaniem odpowiedniego elementu interfejsu malware "wytwarza" dotknięcie ekranu. Robi to w sposób naśladujący normalne zachowanie użytkownika.

Drugi tryb, nazwany "signalling", wykorzystuje WebRTC do przesyłania na żywo obrazu z wirtualnego ekranu do operatorów. Atakujący mogą wtedy w czasie rzeczywistym przewijać, klikać i wpisywać tekst, jak w prawdziwej sesji użytkownika.

Trojan trafił do gier dostępnych do pobrania w GetApps. Aplikacje początkowo nie są zainfekowane. Złośliwe trojany pojawiają się dopiero w późniejszych aktualizacjach. Eksperci nakazują również ostrożność przy instalowaniu plików z serwisów z plikami APK, do których należą m.in. Apkmody i Moddroid. W serwisach tych publikowane są "mody" do popularnych aplikacji.

Badacze odnotowali infekcje na stronach z sekcji "Wybór Edytora" w Moddroid oraz w kanałach na Telegramie. Eksperci radzą szczególnie uważać na pakiety podpisane jako Spotify Pro, Spotify Plus-Official, Moddroid.com i Apkmody Chat. Znaleziono też serwer Discord z 24 tys. subskrybentów promujący aplikację Spotify X.

Część zainfekowanych aplikacji działa zgodnie z oczekiwaniami, co obniża czujność. Fraud odbywa się w ukrytym WebView na wirtualnym ekranie, więc ofiara nie widzi objawów ataku. Bezpośredni koszt to szybsze zużycie baterii i wyższe zużycie transferu danych.

Eksperci zalecają unikać instalowania aplikacji spoza Google Play, szczególnie zmodyfikowanych wersji obiecujących dodatkowe funkcje lub darmowy dostęp do płatnych subskrypcji.