Как хакеры используют ИИ, чтобы «зарабатывать» на вашем Android‑смартфоне
В последнее время злоумышленники всё чаще эксплуатируют не только уязвимости в софте, но и саму архитектуру мобильной рекламы. Недавний отчёт антивирусной лаборатории Dr. Web показал, что на Android‑устройствах появился новый класс троянов, которые используют машинное обучение для автоматического кликанья по рекламе — так называемый clickjacking‑малварь.
Что делает этот троян на Android
В основе вредоносного ПО лежит библиотека TensorFlow.js, с помощью которой на устройстве запускаются небольшие модели машинного обучения. Когда в игре или приложении появляется рекламный блок, троян анализирует содержимое страницы и автоматически «кликает» по баннеру, имитируя действия живого пользователя. Это позволяет накручивать показы и клики, повышая доход разработчика за счёт рекламных сетей.
Особенность этой схемы в том, что интерфейс приложения остаётся внешне нормальным: пользователь ничего не замечает. Малварь может работать в так называемом «фантомном» режиме, запуская скрытое окно браузера, в котором и происходит взаимодействие с рекламой. При этом не требуется постоянное присутствие пользователя — клики генерируются автоматически.
Расширенный контроль над устройством
Кроме простого кликанья по рекламе, этот троян даёт злоумышленникам удалённый доступ к экрану устройства. С помощью механизма, который исследователи называют «signaling», злоумышленник может заставлять смартфон прокручивать страницы, нажимать кнопки, открывать ссылки и даже запускать другие приложения. В теории это открывает путь к краже данных, установке дополнительных вредоносных модулей или заражению других устройств в той же сети.
Интересно, что часть таких игр распространяется через альтернативные магазины приложений, например через Xiaomi‑сервис GetApps, а также через сторонние платформы вроде Apkmody и Moddroid. В материале перечислены конкретные названия игр, в которых обнаружены следы этого трояна: Creation Magic World, Open World Gangsters, Amazing Unicorn Party, Cute Pet House, Theft Auto Mafia и Sakura Dream Academy.
Откуда приходят угрозы и как их избежать
Основной вектор заражения — боковая установка (sideloading) APK‑файлов из непроверенных источников, включая Telegram‑каналы, которые предлагают «модифицированные» версии популярных сервисов, таких как Spotify или Netflix. Такие моды часто содержат в себе не только обход лицензий, но и встроенные трояны, которые начинают работать сразу после установки.
С точки зрения безопасности, наиболее надёжная стратегия для обычного пользователя — ограничить установку приложений официальным Google Play (или App Store на iOS‑устройствах). Если sideloading всё‑таки необходим, важно хотя бы проверять хэши и подписи APK‑файлов, а также использовать современное антивирусное решение, способное детектировать поведенческие аномалии вроде скрытых браузерных окон и автоматических кликов.
Почему это важно для владельцев Android‑устройств
Данный случай показывает, что вредоносный код больше не ограничивается простым кражей паролей или SMS‑кодов. Злоумышленники начинают использовать ИИ‑модели прямо на устройстве, чтобы автоматизировать мошеннические схемы и делать их менее заметными для пользователя и рекламных систем. Для владельцев Android‑смартфонов это означает, что нужно ещё внимательнее относиться к выбору игр и приложений, особенно бесплатных и «модифицированных» версий платных сервисов.
Если вы регулярно устанавливаете игры из неофициальных магазинов или пользуетесь пиратскими версиями подписочных сервисов, имеет смысл провести полный аудит установленных приложений, отключить неиспользуемые разрешения (особенно «управление устройством», «доступ к уведомлениям», «доступ к экрану») и по возможности вернуться к легальным каналам распространения софта.
