Android.Phantom家族木马通过游戏和盗版热门应用感染智能手机并利用机器学习和视频流来操纵点击
Dr.Web AV-Desk新闻 | Hot news | Doctor Web公司新闻
2026年02月03日
木马传播渠道之一是小米设备的官方应用目录GetApps。
我们已发现有多款手机游戏内含恶意软件:CreationMagicWorld(下载量超过32,000次)、CutePetHouse(下载量超过34,000次)、AmazingUnicornParty(下载量超过13,000次)、SakuraDreamAcademy(下载量超过4,000次)、TheftAutoMafia(下载量超过61,000次)和OpenWorldGangsters(下载量超过11,000次)。所有被感染的游戏均开发商都是SHENZHENRUIRENNETWORKCO.,LTD,木马程序嵌入这些应用并与其一同运行。
这些游戏的最初版本都不含恶意软件。9月28日至29日,该开发商发布了包含的游戏更新则嵌入有木马程序 Android.Phantom.2.origin。该木马程序有两种运行模式,程序代码中分别称为“信号模式(signaling)”和“幻影模式(phantom)”。
该恶意软件在幻影模式下使用的是用户看不到的基于WebView组件的嵌入式浏览器。在收到来自 hxxps[:]//playstations[.]click 服务器的指令后,木马会加载要增加点击量的目标网站和名为 “phantom”的JavaScript文件。后者包含一个用于对已加载网站广告自动执行操作的脚本以及TensorFlowJS机器学习框架。此框架的模型是从 hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com 服务器加载到应用程序目录。在某些特定类型的广告场景下,Android.Phantom.2.origin 会将浏览器置于虚拟屏幕并进行截屏。木马使用TensorFlowJS模型分析这些屏幕截图后点击发现的元素。
在另一种模式,也就是信号模式下,木马利用WebRTC连接到第三方服务器。这中技术可以让浏览器和应用直接建立连接,实时交换数据、音频和视频,无需安装额外的软件。在信号模式下,上面提到的hxxps[:]//dllpgd[.]click充当信号服务器,在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//dllpgd[.]click 充当信号服务器,在WebRTC节点之间建立连接。这个服务器还会决定木马的运行模式。包含目标网站的任务来自 hxxps[:]//playstations[.]click。然后,Android.Phantom.2.origin 会暗中将浏览器所加载网站的虚拟屏幕传输给攻击者。木马让连接的WebRTC节点远程控制虚拟屏幕的浏览器,包括进行点击、滚动、输入或将文本粘贴到输入框。
10月15/16日上述游戏再次更新。除了 Android.Phantom.2.origin,这次更新还增加了模块 Android.Phantom.5。这个模块是一个投放器,其中包含远程代码加载器 Android.Phantom.4.origin,可下载其他几个用于模拟用户在各种网站点击行为的木马。这些模块要比点击器 Android.Phantom.2.origin简单,没有运用机器学习或视频流,而只是使用JavaScript点击脚本。
木马在安卓设备使用WebRTC技术需要连接到一个特殊的JavaAPI库,标准操作系统或下载的应用程序并不包含。因此,木马最初主要以幻影模式运行。而加入模块 Android.Phantom.5 后,木马 Android.Phantom.2.origin 获得了使用远程代码加载器 Android.Phantom.4.origin 下载所需库的能力。
攻击者还利用其他渠道传播木马 Android.Phantom.2.origin 和 Android.Phantom.5。其中有音乐流媒体Spotify已解锁高级功能的修改版,托管于多个网站。以下是一些示例:
网站SpotifyPlus
网站SpotifyPro
专门的Telegram频道中也有这个恶意版本存在:
SpotifyPro(54400粉丝)
SpotifyPlus–Official(15057粉丝)
截图中的网站和Telegram频道所托管的Spotify修改版包含 Android.Phantom.2.origin 以及用于AndroidWebRTC通信的库。
除了Spotify修改版,攻击者还在其他热门应用(例如YouTube、Deezer、Netflix等)的修改版中植入了木马,托管于一些盗版网站:
网站Apkmody
网站Moddroid
网站Moddroid有一个“编辑精选”专区。在列出的20个应用中,只有4个是安全的,其余16个都含有木马 Android.Phantom。这两个网站上的应用都来自同一个CDN服务器 hxxps[:]//cdn[.]topmongo[.]com。这些网站都有自己的Telegram频道,用户在这些频道下载的是感染了木马的版本:
Moddroid.com(87653粉丝)
ApkmodyChat(6297粉丝)
犯罪分子还利用Discord服务器进行非法活动。其中规模最大的是SpotifyX,拥有约24,000名订阅者。
Discord服务器管理员甚至在不加掩饰地直接提供感染病毒的版本。例如,在上面的截图中,服务器管理员建议下载音乐流媒体修改版Deezer,而不是Spotify,称Spotify已经停止运行。 使用图中链接下载的是恶意版本,其代码受商业打包软件的保护,里面藏着的是木马 Android.Phantom.1.origin。这是一个远程代码加载器,在收到来自 hxxps[:]//dllpgd[.]click 服务器的指令后会下载我们在上面介绍过的 Android.Phantom.2.origin、Android.Phantom.5 和间谍软件 Android.Phantom.5.origin。这个间谍软件会将设备信息发送给攻击者,包括电话号码、地理位置和已安装应用的列表。
这张服务器截图显示的是被感染设备用所户使用的语言。要访问非英语聊天,用户需选择相应的语言标志。受影响最多的用户所使用的语言位西班牙语、法语、德语、波兰语和意大利语,当然还有服务器语言英语。同时需要注意的是,服务器管理员并没有为很多亚洲国家/地区提供本土语言聊天的功能。
这些木马会给被感染设备的用户造成严重损害。以下是一些可能的后果:
- 无意中成为帮凶。被感染手机可能被用做进行DDoS攻击的僵尸,使用户在不知情的情况下成为网络犯罪的帮凶。
- 非法活动。攻击者可以利用被感染设备进行非法网络活动,如进行诈骗活动或发送垃圾邮件。
- 电池和流量消耗增加。未经授权的活动会消耗电池电量并消耗网络流量。
- 个人数据泄露。 Android.Phantom.5.origin 是一种间谍软件,可以传输有关设备及用户的数据。
此类木马病毒对未安装最新反病毒软件的安卓移动设备用户构成威胁。目前俄罗斯用户在注册外国应用或支付订阅费用时会受到,促使他们寻求其他途径(通常是半合法途径)来获取这些公司的服务。这正中病毒编写者的下怀,因为用户要被迫承担风险并信任可疑的选项。对网络安全知之甚少而一心只想玩游戏、听音乐或看视频的未成年人尤其容易成为受害者。
我们建议您不要从可疑的网站和渠道下载任何盗版应用。通常,验证修改版或应用的来源需要时间、经验和专业知识。因此,确保您和您家人的网络安全的最佳选择是使用Dr.WebSecuritySpace移动设备保护版,可以保护的不仅是您的智能手机,还可以保护其他智能设备,包括游戏机、平板电脑和智能电视。
失陷指标
Android.Phantom.1.origin 更多详情
Android.Phantom.2.origin 更多详情
Android.Phantom.3 更多详情
Android.Phantom.4.origin 更多详情
Android.Phantom.5 更多详情
Android.Phantom.5.origin 更多详情