Исследователи Dr.Web обнаружили новое поколение вредоносных программ, поражающих устройства на базе Android. Особенность этих троянов — использование искусственного интеллекта для автоматического взаимодействия с рекламными объявлениями. Это делает схему более устойчивой к изменениям в интерфейсах и затрудняет обнаружение.
По данным компании Dr.Web, специализирующейся на анализе угроз, вредоносное ПО распространяется через GetApps — официальный магазин приложений для устройств Xiaomi. На первый взгляд, это обычные мобильные игры, однако уже после установки в последующих обновлениях к ним подключаются компоненты, отвечающие за реализацию скрытых функций.
В отличие от традиционных троянов, использующих простые JavaScript-скрипты и взаимодействие с DOM-структурой страницы, новый механизм основан на визуальном анализе. Злоумышленники задействуют TensorFlow.js — открытую библиотеку машинного обучения, разработанную Google. Это позволяет загружать и использовать нейросетевые модели прямо в браузере или на серверной стороне с помощью Node.js.
Программа использует встроенный браузер WebView, работающий в скрытом режиме — так называемом «фантомном».
После загрузки нужной веб-страницы приложение получает модель машинного обучения с внешнего сервера и начинает анализировать содержимое экрана. Чтобы выявить рекламные блоки, система делает скриншоты виртуального экрана, распознаёт ключевые элементы и имитирует нажатия в нужных точках. Такие действия воспроизводят поведение обычного пользователя, тем самым обходя защиту от автоматических кликов.
Модель обучения позволяет вредоносной программе адаптироваться к различным форматам рекламы, включая iframe и видеоролики. Это особенно важно, поскольку современные рекламные блоки часто меняют структуру и параметры отображения, делая неэффективными устаревшие методы автоматизации.
Кроме «фантомного» режима, обнаружен ещё один способ эксплуатации — режим «сигнализации». В этом варианте вредоносное ПО передаёт изображение виртуального экрана в режиме реального времени с использованием WebRTC. Это позволяет злоумышленнику управлять действиями вручную — выполнять нажатия, прокручивать страницы или вводить текст. По сути, создаётся удалённый канал взаимодействия с заражённым устройством, при этом сам пользователь не замечает активности.
Исследователи отмечают, что заражение происходит не в момент первой установки приложения, а с задержкой — вредоносные модули доставляются при обновлении. Это затрудняет проверку приложений на этапе модерации, поскольку начальная версия не содержит вредоносного кода.
По мнению специалистов Dr.Web, появление подобных схем указывает на новый уровень развития мобильного мошенничества. Использование ИИ в сочетании с визуальной навигацией по интерфейсу позволяет троянам работать в условиях постоянных изменений на рекламных платформах. Это повышает эффективность атак и усложняет их блокировку как для антивирусных решений, так и для систем защиты рекламных сетей.
Оригинал публикации на сайте CISOCLUB: "В "Докторе Вебе" предупредили россиян, что вирусы для Android научились использовать ИИ для "клик-мошенничества" через скрытые браузеры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.