Uma nova família de trojans para Android que aplicam fraude de cliques utiliza modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos específicos de anúncios.
O mecanismo se baseia em análise visual por meio de aprendizado de máquina, em vez de rotinas de cliques predefinidas em JavaScript, e não envolve interação em nível DOM baseada em scripts, como os trojans clássicos de fraude de cliques.
O agente malicioso está usando o TensorFlow.js, uma biblioteca de código aberto desenvolvida pelo Google para treinar e implantar modelos de aprendizado de máquina em JavaScript. Ela permite executar modelos de IA em navegadores ou em servidores usando Node.js.
Pesquisadores da empresa de segurança móvel Dr.Web descobriram que a nova família de trojans para Android é distribuída através do GetApps, a loja de aplicativos oficial para dispositivos Xiaomi.
Descobriram que o malware pode operar em um modo chamado “fantasma”, que usa um navegador oculto incorporado baseado em WebView para carregar uma página alvo para fraude de cliques e um arquivo JavaScript. O objetivo do script é automatizar ações nos anúncios exibidos no site carregado.
Após carregar o modelo treinado de um servidor remoto, o navegador oculto é colocado em uma tela virtual e capturas de tela são feitas para que o TensorFlow.js analise e identifique os elementos relevantes.
Ao tocar no elemento correto da interface do usuário, o malware reproduz a atividade normal de um usuário. Esse método é mais eficaz e resistente à variabilidade dos anúncios modernos, já que a maioria deles é dinâmica, muda de estrutura com frequência e costuma usar iframes ou vídeos.
Um segundo modo, chamado ‘sinalização’, usa o WebRTC para transmitir um feed de vídeo ao vivo da tela do navegador virtual para os atacantes, permitindo que eles realizem ações em tempo real, como tocar, rolar e inserir texto.
O agente malicioso distribui o malware em jogos no catálogo de software GetApps da Xiaomi. Inicialmente, os aplicativos são enviados sem funcionalidades maliciosas e recebem os componentes maliciosos em atualizações subsequentes.
Alguns dos jogos infectados identificados pelo Doctor Web são:
- Theft Auto Mafia — 61.000 downloads
- Casinha fofa para animais de estimação — 34.000 downloads
- Mundo da Magia da Criação — 32.000 downloads
- Festa do Unicórnio Incrível — 13.000 downloads
- Gangsters de Mundo Aberto — 11.000 downloads
- Sakura Dream Academy — 4.000 downloads
Fonte: Doctor Web
Além dos aplicativos hospedados pela Xiaomi, os trojans são distribuídos por meio de sites de APK de terceiros (por exemplo, Apkmody e Moddroid), versões alteradas, os chamados mods, dos aplicativos originais do Spotify, YouTube, Deezer e Netflix.
Os pesquisadores afirmam que a maioria dos aplicativos na página “Escolha do Editor” do Moddroid estão infectados.
Arquivos APK infectados também são distribuídos por meio de canais do Telegram, alguns exemplos de aplicativos incluem Spotify Pro, Spotify Plus – Oficial, Moddroid.com e Apkmody Chat.
Fonte: Doctor Web
O Dr.Web também encontrou um servidor do Discord com 24.000 inscritos promovendo um aplicativo infectado chamado Spotify X.
Os pesquisadores observam que pelo menos alguns desses aplicativos “realmente funcionam”, o que reduz a suspeita dos usuários. Somado ao fato de que a fraude de cliques é executada de forma oculta em uma WebView que exibe conteúdo em uma tela virtual, isso significa que as vítimas não verão nenhum indício da atividade maliciosa.
Embora o clickjacking e a fraude publicitária não representem ameaças imediatas à privacidade e aos dados do usuário, são atividades cibercriminosas lucrativas. O impacto direto para o usuário é o consumo excessivo e a degradação prematura da bateria, além do aumento nos custos de dados móveis.
Usuários do Android são aconselhados a evitar a instalação de aplicativos fora da Google Play, especialmente versões alternativas de aplicativos populares que prometem recursos extras ou acesso gratuito a assinaturas premium.
