Эксперты из антивирусной лаборатории Doctor Web рассказали о новом «семействе» вредоносного ПО на Android, перехватывающем управление над браузером. Один из основных каналов распространения — магазин приложений GetApps от Xiaomi.
Специалисты выявили несколько игр с троянами, суммарное количество их загрузок приближается к отметке 150 тысяч. При этом изначально в этих приложениях не было вредоносного ПО — оно появилось после обновлений, которые встроили в код приложений троян Android.Phantom.2.origin.
Троян работает в двух режимах: в первом он загружает скрытые сайты для накрутки кликов, после чего использует модели машинного обучения, чтобы распознать, на какие кнопки нужно нажимать, и проводит взаимодействия с рекламой втайне от пользователя.
Второй вариант гораздо опаснее: через протокол WebRTC смартфон подключается к стороннему серверу, куда троян тайно передаёт злоумышленникам видео виртуального экрана смартфона с загруженными вредоносными сайтами. Троян позволяет подключённому узлу WebRTC удалённо управлять браузером.
Также в Dr.Web рассказали, что эти трояны активно распространяются в Telegram и Discord-каналах под видом взломанных версий Spotify, YouTube, Netflix и других приложений. Одной из самых опасных площадок был признан портал Mobdroid, в редакционной подборке которого 16 из 20 приложений оказались заражены троянами, передающими злоумышленникам данные о телефоне и его геолокацию.
Обновление: Служба поддержки по продукции Xiaomi дала комментарий Rozetked, в котором сообщила, что все упомянутые в источнике приложения были удалены из магазина GetApps. Также были удалены все приложения соответствующего разработчика.