Uma nova família de trojans para Android, especializada em click-fraud, utiliza modelos de machine learning do TensorFlow para identificar e interagir automaticamente com elementos específicos de anúncios.
Diferentemente dos trojans tradicionais, que executam rotinas de clique baseadas em JavaScript, essa ameaça se apoia na análise visual por machine learning, sem interação direta com o DOM por meio de scripts.
O atacante usa o TensorFlow.js, uma biblioteca open-source do Google que permite treinar e rodar modelos de IA diretamente em JavaScript, seja em navegadores ou em servidores Node.js.
Pesquisadores da empresa de segurança móvel Dr.Web identificaram que esses trojans são distribuídos por meio do GetApps, a loja oficial de aplicativos para dispositivos Xiaomi.
O malware opera em um modo denominado “phantom”, que utiliza um browser embutido baseado em WebView, oculto do usuário, para carregar as páginas-alvo onde ocorre o click-fraud.
Um script automatiza a interação com os anúncios exibidos na página.
Após carregar o modelo treinado de um servidor remoto, o navegador oculto é posicionado em uma tela virtual.
Capturas de tela são feitas para que o TensorFlow.js analise e reconheça os elementos relevantes na interface.
Ao clicar no componente correto da UI, o malware simula um comportamento real de usuário.
Essa abordagem é mais eficiente e resiliente diante da alta variabilidade dos anúncios modernos, que frequentemente mudam de estrutura e utilizam recursos como iframes ou vídeos.
Um segundo modo, chamado “signalling”, usa WebRTC para transmitir em tempo real o vídeo da tela virtual do navegador aos atacantes.
Isso permite que eles controlem ações ao vivo, como toques, rolagem e digitação.
A entrega do malware ocorre principalmente por meio de jogos disponíveis no catálogo GetApps da Xiaomi.
Inicialmente, os apps são enviados sem funcionalidades maliciosas e, posteriormente, recebem o código nocivo por meio de atualizações subsequentes.
Entre os jogos infectados identificados pela Dr.Web estão:
- Theft Auto Mafia — 61.000 downloads
- Cute Pet House — 34.000 downloads
- Creation Magic World — 32.000 downloads
- Amazing Unicorn Party — 13.000 downloads
- Open World Gangsters — 11.000 downloads
- Sakura Dream Academy — 4.000 downloads
Além dos apps hospedados pela Xiaomi, os trojans circulam em sites de APKs de terceiros, como Apkmody e Moddroid.
Nessas plataformas, são oferecidas versões modificadas (“mods”) de apps populares como Spotify, YouTube, Deezer e Netflix.
Os pesquisadores apontam que a maioria dos apps na seção “Editor’s Choice” do Moddroid está infectada.
Arquivos APK maliciosos também são distribuídos via canais do Telegram, incluindo variantes de Spotify denominadas Spotify Pro e Spotify Plus – Official, além de canais vinculados ao Moddroid e Apkmody.
A Dr.Web ainda descobriu um servidor no Discord com 24 mil membros que divulga uma versão infectada chamada Spotify X.
Um ponto preocupante é que ao menos algumas dessas aplicações “funcionam normalmente”, o que diminui a suspeita dos usuários.
Combinado ao fato de que o click-fraud é executado silenciosamente dentro do WebView em uma tela virtual, as vítimas não percebem nenhuma atividade suspeita.
Embora clickjacking e fraudes em anúncios não representem riscos diretos à privacidade ou aos dados dos usuários, são práticas lucrativas para criminosos cibernéticos.
O impacto imediato para a vítima é o consumo excessivo de bateria, o desgaste acelerado do aparelho e o aumento no gasto com dados móveis.
Usuários Android são orientados a evitar a instalação de apps fora da Google Play, especialmente versões alternativas que prometem funcionalidades extras ou acesso gratuito a assinaturas premium.
Esse cuidado é fundamental para prevenir infecções e golpes relacionados a malwares móveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...