Przejdź na

Masz telefon Xiaomi? Ważny komunikat

Nowa rodzina trojanów na Androida wykorzystuje modele uczenia maszynowego do automatycznego klikania reklam w ukrytej przeglądarce.

Trojany w sklepie z aplikacjami XiaomiTrojany w sklepie z aplikacjami Xiaomi
Źródło zdjęć: © Canva, Pexels, Xiaomi, dobreprogramy | Aleksandra Dąbrowska
Aleksandra Dąbrowska
oprac.  Aleksandra Dąbrowska

Badacze cyberbezpieczeństwa zidentyfikowali niebezpieczne trojany dystrybuowane m.in. przez oficjalny sklep Xiaomi - GetApps. Zamiast klasycznych skryptów klikających w określone miejsca w ekranie, malware używa TensorFlow.js do analizy obrazu i rozpoznawania elementów reklam. Następnie "klika" on je zupełnie tak, jakby kliknął je użytkownik.

Jak działa nowy trojan na Androida

Tryb działania tego malware określany jest jako "phantom". Wykorzystuje on ukrytą przeglądarką opartą na WebView. Jej zadaniem jest ładowanie stron z reklamami. Następnie aplikacja wykonuje zrzuty ekranu. Kolejno za pomocą sztucznej inteligencji są one analizowane. Wraz z rozpoznaniem odpowiedniego elementu interfejsu malware "wytwarza" dotknięcie ekranu. Robi to w sposób naśladujący normalne zachowanie użytkownika.

Drugi tryb, nazwany "signalling", wykorzystuje WebRTC do przesyłania na żywo obrazu z wirtualnego ekranu do operatorów. Atakujący mogą wtedy w czasie rzeczywistym przewijać, klikać i wpisywać tekst, jak w prawdziwej sesji użytkownika.

Hakerzy zaatakowali mazurską elektrociepłownię. Śledczy badają sprawę
Hakerzy zaatakowali mazurską elektrociepłownię. Śledczy badają sprawę

Dystrybucja przez GetApps i mody APK

Trojan trafił do gier dostępnych do pobrania w GetApps. Aplikacje początkowo nie są zainfekowane. Złośliwe trojany pojawiają się dopiero w późniejszych aktualizacjach. Eksperci nakazują również ostrożność przy instalowaniu plików z serwisów z plikami APK, do których należą m.in. Apkmody i Moddroid. W serwisach tych publikowane są "mody" do popularnych aplikacji.

Włamania do e-dzienników. Nowy cel cyberprzestępców
Włamania do e-dzienników. Nowy cel cyberprzestępców

Badacze odnotowali infekcje na stronach z sekcji "Wybór Edytora" w Moddroid oraz w kanałach na Telegramie. Eksperci radzą szczególnie uważać na pakiety podpisane jako Spotify Pro, Spotify Plus-Official, Moddroid.com i Apkmody Chat. Znaleziono też serwer Discord z 24 tys. subskrybentów promujący aplikację Spotify X.

Ukryte działania i skutki dla użytkownika

Część zainfekowanych aplikacji działa zgodnie z oczekiwaniami, co obniża czujność. Fraud odbywa się w ukrytym WebView na wirtualnym ekranie, więc ofiara nie widzi objawów ataku. Bezpośredni koszt to szybsze zużycie baterii i wyższe zużycie transferu danych.

Eksperci zalecają unikać instalowania aplikacji spoza Google Play, szczególnie zmodyfikowanych wersji obiecujących dodatkowe funkcje lub darmowy dostęp do płatnych subskrypcji.

Misja AI
Misja AI © Cyfrowi Bezpieczni

Aleksandra Dąbrowska, dziennikarka Wirtualnej Polski

Wybrane dla Ciebie
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
NASK: prorosyjskie grupy przejmują kamery z Polski
NASK: prorosyjskie grupy przejmują kamery z Polski
EQ w czasach AI, czyli jak dbać o dzieci w cyfrowym labiryncie
EQ w czasach AI, czyli jak dbać o dzieci w cyfrowym labiryncie
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
mBank ostrzega przed majówką. Podał terminy przelewów
mBank ostrzega przed majówką. Podał terminy przelewów
Ważne zmiany na Facebooku. Dotyczą prywatności
Ważne zmiany na Facebooku. Dotyczą prywatności
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Nowość w mObywatelu. Pobierz aktualizację
Nowość w mObywatelu. Pobierz aktualizację
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟