Użytkownicy smartfonów Xiaomi powinni zachować szczególną ostrożność, ponieważ w oficjalnym sklepie GetApps pojawiły się aplikacje zainfekowane zaawansowaną rodziną trojanów na system Android. Te złośliwe programy stosują sztuczną inteligencję do inteligentnego klikania w reklamy, działając całkowicie w tle, bez wiedzy właściciela urządzenia.
Nowy typ malware działa w dwóch głównych wariantach, oba wykorzystujące ukryte mechanizmy do generowania nielegalnych przychodów z reklam. Pierwszy, nazwany trybem widmowym, polega na uruchomieniu niewidocznej dla użytkownika przeglądarki opartej na komponencie WebView. Ta ukryta instancja otwiera witryny pełne nachalnych banerów i materiałów promocyjnych. Następnie trojan regularnie robi zrzuty ekranu i przetwarza je za pomocą bibliotek TensorFlow.js, czyli narzędzia Google do lokalnego uruchamiania algorytmów uczenia maszynowego w kodzie JavaScript. Model AI skanuje obrazy w poszukiwaniu przycisków, linków czy formularzy reklamowych, a po ich zlokalizowaniu symuluje realistyczne gesty dotykowe – takie jak delikatne stuknięcia czy przesunięcia – idealnie imitując ruchy palca człowieka. Dzięki temu kliknięcia wydają się naturalne i omijają zabezpieczenia antyspamowe platform reklamowych.
Drugi tryb, określany jako sygnalizacyjny, podnosi zagrożenie na wyższy poziom. Tutaj trojan korzysta z technologii WebRTC, przesyłając strumień wideo z ukrytej sesji przeglądarki bezpośrednio do zdalnych operatorów – hakerów kontrolujących infekcję. Ci mogą w czasie rzeczywistym manipulować stronami: klikać w oferty, wypełniać pola tekstowe czy przewijać treści, czerpiąc zyski z każdej interakcji. Cały proces odbywa się na wirtualnym pulpicie, całkowicie odizolowanym od głównego interfejsu telefonu, co uniemożliwia wykrycie bez specjalistycznych narzędzi.
Źródłem rozprzestrzeniania tych trojanów są nie tylko aplikacje z GetApps, ale też nieoficjalne kanały dystrybucji. Specjaliści zidentyfikowali fałszywe wersje hitowych programów, na przykład zmodyfikowane edycje platform streamingowych typu Spotify Premium, YouTube Premium czy Netflix HD, oferowane na forach APK, grupach Telegram czy serwerach Discord z tysiącami uczestników. Przykładowo, pod nazwami takimi jak Spotify Pro czy Apkmody Chat ukrywano malware w sekcjach „Polecane” na stronach w stylu Moddroid. Inne zainfekowane gry i aplikacje, takie jak symulatory mafijne z dziesiątkami tysięcy pobrań czy kreatory wirtualnych światów, maskowały się pod niewinnymi tytułami, by zwabić nieświadomych graczy.
Konsekwencje infekcji wykraczają poza irytujące reklamy – trojany te mogą eskalować do szpiegowania, kradzieży danych z komunikatorów czy nawet manipulacji portfelami kryptowalutowymi poprzez podmianę adresów w schowku. Aby się chronić, zawsze pobieraj aplikacje wyłącznie ze sprawdzonych źródeł jak Google Play, unikaj nieznanych modyfikacji popularnych programów i regularnie skanuj urządzenie antywirusem dedykowanym dla Androida. W razie podejrzeń o infekcję, włącz opcję „Popraw wykrywanie szkodliwych aplikacji” w ustawieniach Google, wyczyść pamięć podręczną przeglądarek i rozważ reset fabryczny po uprzednim wykonaniu kopii zapasowej ważnych plików. Bądź czujny, bo cyberprzestępcy stale udoskonalają swoje metody.