Антивирусная лаборатория Doctor Web обнаружила целое семейство троянов для Android, которые распространялись через официальный магазин приложений GetApps от Xiaomi. Причём речь идёт не о каких-то малоизвестных программах — суммарное количество загрузок заражённых приложений приближается к 150 тысячам. И да, я сам пользуюсь смартфоном Xiaomi, так что новость задела за живое 😅
Самое интересное началось, когда эксперты выяснили подробности распространения вредоносного ПО. Оказалось, что злоумышленники действовали довольно хитро — изначально приложения были абсолютно чистыми, без намёка на вирусы. Троян Android.Phantom.2.origin появился только после обновлений, которые разработчики выпустили уже после успешной модерации в магазине.
Как работает троян Android.Phantom
Специалисты из Dr.Web выявили два режима работы вредоносного ПО, и оба заслуживают внимания. Первый вариант можно назвать относительно безобидным — троян в фоновом режиме загружает скрытые сайты и накручивает клики по рекламе. Для этого используются модели машинного обучения, которые распознают нужные кнопки и элементы на странице, после чего троян автоматически взаимодействует с рекламой.
Пользователь при этом ничего не замечает — всё происходит в скрытом браузере, который работает параллельно с обычными приложениями. Злоумышленники таким образом зарабатывают на рекламных кликах, используя ресурсы вашего смартфона. Аккумулятор садится быстрее, телефон греется, а владелец недоумевает, что случилось с устройством 🤔
Но второй режим работы трояна — это уже совсем другой уровень опасности. Через протокол WebRTC вредоносное ПО подключает смартфон к стороннему серверу и начинает передавать злоумышленникам видеопоток виртуального экрана с загруженными сайтами. Фактически троян позволяет удалённо управлять браузером на вашем телефоне.
Откуда берутся заражённые приложения
Магазин GetApps от Xiaomi оказался не единственным каналом распространения троянов. Эксперты обнаружили, что вредоносное ПО активно распространяется через Telegram и Discord-каналы, где злоумышленники маскируют трояны под взломанные версии популярных приложений.
Чаще всего под раздачу попадают:
- Модифицированные версии Spotify Premium
- Взломанный YouTube без рекламы
- Пиратский Netflix с бесплатной подпиской
- Другие премиум-приложения с обещанием бесплатного доступа
Помните золотое правило: бесплатный сыр бывает только в мышеловке 😉 Когда вам предлагают премиум-подписку Netflix за 0 рублей через какой-то левый канал в Telegram, стоит как минимум задуматься.
Mobdroid: рассадник вредоносного ПО
Отдельного внимания заслуживает портал Mobdroid, который специалисты Dr.Web признали одной из самых опасных площадок для распространения троянов. Цифры просто поражают — в редакционной подборке сайта 16 из 20 приложений оказались заражены вредоносным ПО.
Эти трояны не только перехватывают управление браузером, но и передают злоумышленникам конфиденциальные данные о вашем смартфоне, включая геолокацию. Представьте: кто-то на другом конце планеты знает, где вы находитесь, какой у вас телефон и что вы делаете в данный момент. Не самая приятная перспектива, правда?
Реакция Xiaomi на инцидент
После публикации информации о троянах служба поддержки Xiaomi оперативно отреагировала на ситуацию. Представители компании подтвердили, что все упомянутые в отчёте Dr.Web приложения были удалены из магазина GetApps. Более того, Xiaomi пошла дальше и удалила вообще все приложения от соответствующего разработчика.
Это правильный шаг со стороны компании, но вопросы всё равно остаются. Как троянские приложения вообще попали в официальный магазин? Почему модерация не отследила подозрительные обновления? И главное — сколько пользователей уже успели скачать заражённые программы?
Как защитить свой смартфон от троянов
Давайте разберёмся, что делать, чтобы не стать жертвой подобных атак. Первое и самое важное правило — устанавливайте приложения только из официальных магазинов. Даже если речь идёт о GetApps от Xiaomi, это всё равно безопаснее, чем качать APK-файлы со сторонних сайтов или Telegram-каналов.
Обращайте внимание на разработчика приложения. Если игра вышла от неизвестной студии, но набрала сотни тысяч загрузок за короткий срок — это повод насторожиться. Читайте отзывы пользователей, особенно негативные. Часто именно там люди пишут про странное поведение приложений, быстрый разряд батареи или подозрительную активность.
Используйте антивирусное ПО на смартфоне. Да, многие считают, что антивирусы на Android — это лишнее, но случаи вроде распространения Android.Phantom доказывают обратное. Хороший антивирус может обнаружить троян даже после того, как он попал на устройство через обновление приложения.
Регулярно проверяйте разрешения установленных приложений. Если какая-то игрушка вдруг запрашивает доступ к камере, микрофону или геолокации без явной необходимости — это тревожный звонок. Зачем простой головоломке нужна ваша геолокация? 🤨
Почему троянов становится больше
Ситуация с троянами в официальных магазинах приложений — это симптом более глобальной проблемы. Злоумышленники становятся изобретательнее, а их методы — сложнее для обнаружения. Раньше вредоносное ПО можно было вычислить ещё на этапе модерации, но теперь трояны внедряются через обновления уже одобренных приложений.
Использование машинного обучения для имитации поведения пользователя — это вообще новый уровень. Троян не просто кликает по рекламе наугад, а анализирует страницу и определяет, куда именно нужно нажать. Это делает его действия практически неотличимыми от действий реального человека.
А технология WebRTC, которая изначально создавалась для видеозвонков и стриминга, превратилась в инструмент для удалённого управления устройством. Злоумышленники буквально видят экран вашего браузера и могут взаимодействовать с ним в реальном времени. Звучит как сюжет фантастического фильма, но это реальность 2026 года.
Что делать, если вы скачали заражённое приложение
Если вы подозреваете, что на вашем смартфоне оказался троян из семейства Android.Phantom, действуйте быстро. Первым делом удалите подозрительные приложения, особенно те, которые вы устанавливали из GetApps или сторонних источников в последние несколько месяцев.
Запустите полную проверку системы антивирусом. Если у вас его нет — установите, благо хороших решений на рынке достаточно. Смените пароли от важных аккаунтов, особенно если заходили в них через браузер на смартфоне. Учитывая, что троян может перехватывать управление браузером, ваши данные могли оказаться скомпрометированы.
В крайнем случае сделайте сброс до заводских настроек. Да, это радикальная мера, и вы потеряете все данные, которые не сохранены в облаке. Но если речь идёт о безопасности личной информации и финансовых данных, лучше перестраховаться. Я сам однажды делал полный сброс после того, как подцепил что-то подозрительное — неприятно, но спокойнее спится 😅
А вы проверяли, какие приложения установлены на вашем смартфоне? Может, среди них уже есть что-то подозрительное?
Каждый день я публикую свежие материалы, разборы и новости в Telegram. Если не хотите пропускать интересное — подписывайтесь и читайте в удобное время!