В Android-троянах начали использовать ИИ для обхода защиты и «умного» кликфрода

Мобильные трояны сделали очередной шаг вперед: вместо примитивных скриптов они начали использовать машинное обучение для анализа интерфейсов и взаимодействия с рекламой почти как человек.

Новую волну вредоносных Android-приложений обнаружили специалисты Dr.Web.

Как работают «умные» трояны

В основе новой схемы — TensorFlow.js. Это open-source библиотека от Google, которая позволяет запускать модели машинного обучения прямо в JavaScript. Вместо заранее заданных правил, троян анализирует изображение экрана и сам определяет, куда «нажать».

Сценарий выглядит так:

• троян загружает обученную ML-модель с удаленного сервера;
• открывает сайт с рекламой во встроенном скрытом WebView;
• делает скриншоты виртуального экрана;
• модель распознает нужные элементы (кнопки, видео, баннеры);
• вредоносное ПО имитирует реальные действия пользователя.

За счет визуального анализа, троян лучше адаптируется к современным рекламным форматам: динамической верстке, iframe, видео и постоянно меняющимся шаблонам.

Два режима работы: автономный и ручной

По данным Dr.Web, трояны используют сразу два режима.

Phantom-режим. Это полностью автоматический вариант, когда вредоносный код работает в фоне. Пользователь ничего не видит, а клики по рекламе выглядят максимально естественно.

Signalling-режим. Это уже более опасный вариант, при котором через WebRTC троян транслирует экран виртуального браузера операторам атаки. Злоумышленники могут в реальном времени нажимать, скроллить и вводить текст, управляя устройством удаленно.

Где распространяется вредоносное ПО

Часть зараженных приложений попала даже в Xiaomi GetApps — официальный магазин приложений компании. Схема классическая: сначала на площадку загружается «чистая» игра, а вредоносный функционал появляется позже, через обновление.

Среди выявленных приложений — мобильные игры с десятками тысяч установок. Параллельно трояны активно распространяются через сторонние APK-сайты и «моды» популярных сервисов вроде Spotify и YouTube, а также через Telegram-каналы и Discord-серверы.

Почему это опаснее обычного кликфрода

Формально такие трояны не крадут пароли и не вытаскивают личные данные. Но их скрытность делает их особенно неприятными:

• пользователь не видит подозрительных действий;
• ускоряется разряд батареи и износ устройства;
• растет расход мобильного трафика;
• рекламные системы получают фейковую «человеческую» активность, которую сложнее отфильтровать.

Главное же — это сигнал: ИИ все чаще используют не только для защиты, но и для атак. Вредоносное ПО постепенно перенимает те же инструменты, что и легальные разработчики.

Что делать пользователям

Рекомендации остаются простыми и банальными, но от этого не менее важными:

• не устанавливать APK из сторонних источников;
• избегать модов и бесплатных премиум-версий приложений;
• внимательно относиться даже к альтернативным официальным магазинам;
• регулярно обновлять систему и защитное ПО.