Тихий шкідник: чому варто звернути увагу
Dr.Web та Bleeping Computer повідомили про новий троян для Android, який не шумить і не вимагає видимих дозволів — він візуально розпізнає рекламу на сторінках через моделі, запущені в браузерному середовищі (TensorFlow.js), і імітує кліки у фоні. Для користувача це не театральний злом — це прискорене зношення батареї, підвищені витрати мобільного трафіку й ризики для приватних даних.
Як працює троян
Зловмисний код додають до легітимних застосунків через оновлення. Далі він працює у двох режимах: у «phantom» режимі моделі самостійно знаходять та натискають рекламні елементи, імітуючи дії людини; у «signalling» — зловмисники керують діями в реальному часі. Такий підхід ускладнює виявлення традиційними скриптовими сигнатурами.
"Ми фіксуємо використання TensorFlow.js для візуального розпізнавання рекламних елементів у фоновому режимі — це новий рівень автоматизації автокліків, який важче відстежити стандартними методами."
— Dr.Web, команда дослідників безпеки
Канали поширення
Троян поширювався через магазин GetApps на пристроях Xiaomi та через сторонні репозиторії (Apkmody, Moddroid), а також — через популярні канали в Telegram і Discord. Заражені додатки виглядають як звичні ігри або утиліти (серед згаданих — Theft Auto Mafia, Cute Pet House, Sakura Dream Academy), тому користувачі рідко підозрюють проблему, поки батарея не почне швидко сідати.
Що ризикує користувач і країна
Пошкодження — не тільки технічне: витрати на трафік і зношення пристрою відчутні, але головне — підстава для складніших атак. Модулі автокліків можуть маскувати інші функції або створювати «тривожну» активність, яка відволікає від реальних витрат виконавцям атак. Під час війни, коли мобільні пристрої — ключ до комунікації й критичних сервісів, навіть «безпечний» додаток в умовах масового зараження підриває загальну кіберстійкість.
Практичні кроки захисту
Експерти радять діяти прагматично:
- Не встановлюйте застосунки з неперевірених джерел; уникайте «зламаних» APK та сумнівних пропозицій «преміум безкоштовно».
- Перевірте дозволи у встановлених додатках; звертайте увагу на програми з правом запуску у фоні та доступом до мережі.
- Використовуйте офіційні магазини або перевірені вендорські сервіси, увімкніть Play Protect та оновлюйте ОС і додатки.
- Моніторте батарею й трафік: несподівано високе споживання може бути індикатором зараження.
- Видаляйте підозрілі додатки та скануйте пристрій антивірусом від відомих вендорів (наприклад, Dr.Web); у разі серйозних підозр — робіть резервну копію й виконуйте скидання до заводських налаштувань.
- Повідомляйте про виявлені загрози до CERT‑UA та до постачальника вашого пристрою.
Контекст і прогноз
Ця кампанія — приклад того, як кіберзагрози еволюціонують: від простих скриптів автокліків — до застосування моделей машинного навчання у браузерному середовищі. Аналітики звертають увагу, що подібні механізми можуть стати платформою для складніших шахрайств, включно з фінансовими втратами у майбутньому. Раніше в 2025 році фіксували випадки троянів, які могли викрадати кошти або маніпулювати даними великих моделей — тренд очікує нарощення.
Тепер питання не лише в тому, чи вплине це на один телефон — а в тому, наскільки швидко ми як користувачі, галузь і держава зможемо виявляти й блокувати такі загрози, щоб зберегти критичні комунікації й довіру користувачів.
