Eine neue Familie von Android-Trojanern nutzt maschinelles Lernen, um Klickbetrug durchzuführen. Sicherheitsforscher des russischen Antivirenunternehmens Doctor Web haben eine Schadsoftware entdeckt, die TensorFlow.js einsetzt – eine von Google entwickelte Programmbibliothek für künstliche Intelligenz. Die Malware analysiert damit Screenshots, erkennt Werbeelemente und klickt diese automatisch an.
Die Trojaner der „Phantom“-Familie operieren in zwei Betriebsmodi. Im „Phantom“-Modus öffnet die Malware Webseiten in einem für euch unsichtbaren Browser. Sie fertigt Screenshots an, die ein vortrainiertes Modell auswertet, um Werbeflächen zu lokalisieren. Anschließend simuliert die Software Fingertipps auf die erkannten Elemente. Diese Methode umgeht klassische Erkennungsmechanismen, da sie nicht auf vordefinierte JavaScript-Routinen angewiesen ist und sich an dynamisch wechselnde Werbeformate anpassen kann.
Im zweiten Modus mit dem Namen „Signaling“ überträgt der Trojaner den virtuellen Bildschirm per WebRTC an einen externen Server. WebRTC ist eine Technologie, die direkte Echtzeitverbindungen zwischen Geräten ermöglicht, etwa für Videotelefonie oder Livestreams. Die Angreifer können dann in Echtzeit mit dem versteckten Browser interagieren, Eingaben vornehmen und durch Seiten navigieren.
Die Verbreitung erfolgt unter anderem über GetApps, den offiziellen App-Store für Xiaomi-Geräte. Mehrere Spiele eines einzelnen Entwicklers wurden dort zunächst ohne Schadcode veröffentlicht und erst durch Updates mit den Trojanern versehen. Zu den betroffenen Titeln zählen „Theft Auto Mafia“ mit rund 61.000 Downloads sowie „Cute Pet House“ mit etwa 34.000 Downloads.
Darüber hinaus verbreiten die Angreifer die Malware über Drittanbieterseiten für modifizierte Apps. Auf Plattformen wie Moddroid waren laut den Forschern 16 von 20 Apps in der Rubrik „Editor’s Choice“ infiziert. Auch Telegram-Kanäle und Discord-Server mit zehntausenden Mitgliedern dienen als Vertriebswege für manipulierte Versionen von Spotify, YouTube, Deezer und Netflix.
Für euch bedeutet die Infektion zunächst erhöhten Akkuverbrauch und steigendes Datenvolumen durch die versteckte Aktivität. Einige Varianten der Malware enthalten laut Doctor Web zusätzlich Spyware-Komponenten, die Telefonnummern, Standortdaten und Listen installierter Apps an die Angreifer übermitteln. Ihr solltet Apps nur aus vertrauenswürdigen Quellen beziehen und bei vermeintlich kostenlosen Premium-Versionen populärer Dienste vorsichtig sein.