新型木马流传 捆绑魔改游戏与应用 利用机器学习实施点击欺诈

反病毒实验室Doctor Web近期发文称，发现并深入调查了一个新型点击器木马家族，该系列木马主要通过 dllpgd.click 服务器进行管理，或者在接收到远程主机的指令后下载并运行，目前，该木马家族已在海外安卓平台大规模蔓延。

根据Dr.Web的报告，小米旗下的 GetApps 软件商店是该木马的主要分发渠道之一，多款热门手游已遭该木马感染，且均由一家名为 SHENZHEN RUIREN NETWORK CO., LTD的开发商上传。

Android.Phantom 木马程序与这些应用捆绑在一起并随之启动。受影响的游戏包括：
Creation Magic World（下载量超 3.2 万次）
Cute Pet House（下载量超 3.4 万次）
Amazing Unicorn Party（下载量超 1.3 万次）
Sakura Dream Academy（下载量超 4000 次）
Theft Auto Mafia（下载量超 6.1 万次）
Open World Gangsters（下载量超 1.1 万次）

值得注意的是，这些游戏的初始版本并未包含恶意代码，但在 9 月 28 日至 29 日的更新中，开发者植入了 Android.Phantom.2.origin 木马，随后在 10 月 15 日至 16 日的再次更新中，又引入了 Android.Phantom.5 模块，该模块作为一个释放器（dropper），负责从远程主机获取 Android.Phantom.4.origin 及其所需的 WebRTC 库，从而赋予木马完整的运行能力。

该恶意软件具备精密的技术架构，分为“信号模式”（signalling）和“幽灵模式”（phantom）。
在幽灵模式下，木马利用隐藏的 WebView 加载网页，从服务器获取指令后加载目标欺诈网站，并下载包含 TensorFlowJS 机器学习框架的脚本。Android.Phantom.2.origin 会将网页内容输出到虚拟屏幕并截图，利用 TensorFlowJS 分析截图并精准模拟点击广告元素。

在信号模式下，木马利用 WebRTC 技术与第三方服务器建立点对点连接。此时 hxxps[:]//dllpgd[.]click 充当中央服务器帮助节点互联，并决定运行模式。Android.Phantom.2.origin 会秘密将虚拟屏幕上的网页视频流传输给攻击者，允许其远程控制浏览器进行点击、滚动乃至输入文本，实现高度自动化的欺诈操作。

除了官方应用商店，攻击者还利用 Spotify、YouTube、Deezer 和 Netflix 等热门流媒体服务的“魔改版”应用进行广泛传播。这些声称解锁了高级功能（如 Spotify Plus/Pro）的修改版 APK 文件，广泛存在于 Apkmody、Moddroid 等第三方下载站以及 Telegram 频道和 Discord 服务器中。

此外，Moddroid 门户网站“编辑精选”栏目中的 20 款应用中，竟有 16 款含有 Android.Phantom 木马。

Dr.Web声称，该病毒一旦感染，用户的设备将面临多重严重威胁。Android.Phantom.5.origin 作为间谍软件组件，会窃取设备信息、电话号码、位置及应用列表回传给攻击者。此外，受感染设备可能被迫参与 DDoS 攻击，沦为网络犯罪的帮凶，同时后台的隐蔽活动会导致电池电量迅速耗尽和移动数据流量激增。