Тихий вредитель: почему стоит обратить внимание
Dr.Web и Bleeping Computer сообщили о новом трояне для Android, который не шумит и не требует видимых разрешений — он визуально распознаёт рекламу на страницах через модели, запущенные в браузерной среде (TensorFlow.js), и имитирует клики в фоновом режиме. Для пользователя это не показной взлом — это ускоренный износ батареи, повышенные расходы мобильного трафика и риски для личных данных.
Как работает троян
Вредоносный код добавляют в легитимные приложения через обновления. Далее он работает в двух режимах: в «phantom» режиме модели самостоятельно находят и нажимают рекламные элементы, имитируя действия человека; в «signalling» — злоумышленники управляют действиями в реальном времени. Такой подход усложняет обнаружение традиционными скриптовыми сигнатурами.
"Мы фиксируем использование TensorFlow.js для визуального распознавания рекламных элементов в фоновом режиме — это новый уровень автоматизации автокликов, который труднее отследить стандартными методами."
— Dr.Web, команда исследователей безопасности
Каналы распространения
Троян распространялся через магазин GetApps на устройствах Xiaomi и через сторонние репозитории (Apkmody, Moddroid), а также — через популярные каналы в Telegram и Discord. Заражённые приложения выглядят как привычные игры или утилиты (среди упомянутых — Theft Auto Mafia, Cute Pet House, Sakura Dream Academy), поэтому пользователи редко подозревают проблему, пока батарея не начнёт быстро садиться.
Какие риски для пользователя и страны
Ущерб — не только технический: расходы на трафик и износ устройства ощутимы, но главное — основание для более сложных атак. Модули автокликов могут маскировать другие функции или создавать «тревожную» активность, которая отвлекает от реальных расходов исполнителей атак. Во время войны, когда мобильные устройства — ключ к коммуникации и критическим сервисам, даже «безопасное» приложение в условиях массового заражения подрывает общую киберустойчивость.
Практические шаги защиты
Эксперты советуют действовать прагматично:
- Не устанавливайте приложения из непроверенных источников; избегайте «взломанных» APK и сомнительных предложений «премиум бесплатно».
- Проверьте разрешения в установленных приложениях; обращайте внимание на программы с правом запуска в фоне и доступом к сети.
- Используйте официальные магазины или проверенные вендорские сервисы, включите Play Protect и обновляйте ОС и приложения.
- Мониторьте батарею и трафик: неожиданно высокое потребление может быть индикатором заражения.
- Удаляйте подозрительные приложения и сканируйте устройство антивирусом от известных вендоров (например, Dr.Web); в случае серьёзных подозрений — делайте резервную копию и выполняйте сброс к заводским настройкам.
- Сообщайте о выявленных угрозах в CERT‑UA и поставщику вашего устройства.
Контекст и прогноз
Эта кампания — пример того, как киберугрозы эволюционируют: от простых скриптов автокликов — до применения моделей машинного обучения в браузерной среде. Аналитики обращают внимание, что подобные механизмы могут стать платформой для более сложных мошенничеств, включая финансовые потери в будущем. Ранее, в 2025 году, фиксировали случаи троянов, которые могли похищать средства или манипулировать данными крупных моделей — тенденция ожидает усиления.
Теперь вопрос не только в том, повлияет ли это на один телефон — а в том, насколько быстро мы как пользователи, отрасль и государство сможем выявлять и блокировать такие угрозы, чтобы сохранить критические коммуникации и доверие пользователей.
