Pesquisadores da Doctor Web identificaram uma nova e sofisticada campanha maliciosa que coloca em risco usuários de Android. O protagonista dessa ameaça é o malware Phantom, que se esconde em jogos e aplicativos modificados para transformar smartphones em ferramentas de fraude de anúncios, realizando cliques e interações sem qualquer consentimento do usuário.
Os primeiros sinais dessa operação surgiram em setembro de 2025, quando diversos jogos para Android começaram a exibir um comportamento suspeito. Curiosamente, todos vinham de uma única conta de desenvolvedor e incluíam títulos como Creation Magic World, Cute Pet House e Theft Auto Mafia. Esses aplicativos, antes considerados seguros, foram atualizados para carregar o trojan Android.Phantom, agindo de forma imperceptível às vítimas.
Como o Phantom Opera e o Papel da Inteligência Artificial
As análises detalhadas da Doctor Web revelam que a família de malwares Android.Phantom opera em dois modos distintos, ambos controlados remotamente. Em seu modo "phantom", o malware emprega um componente de navegador oculto para carregar páginas específicas. Em seguida, ele baixa um script e um modelo de aprendizado de máquina, que é utilizado para analisar e interagir com anúncios, replicando o comportamento de cliques de um usuário real.
Detalhes Técnicos: A IA por Trás da Fraude
O uso de um modelo de aprendizado de máquina é um diferencial do Phantom. Essa capacidade permite que o malware se adapte melhor aos diferentes formatos de anúncios e plataformas, otimizando a eficácia da fraude e tornando sua detecção mais desafiadora para mecanismos de segurança convencionais. Isso demonstra como a IA, embora uma ferramenta poderosa para o bem, também pode ser explorada em ataques cibernéticos, exigindo uma atenção redobrada à segurança digital, como exploramos em "1Password: Alerta de Phishing Impulsionado por IA Chega para Proteger Devs".
Um modo alternativo do Phantom estabelece uma conexão P2P (peer-to-peer) via WebRTC. Essa funcionalidade permite que controladores remotos visualizem e interajam com uma tela virtual do dispositivo da vítima em tempo real. Durante essas sessões, o atacante pode rolar a tela, clicar em elementos e até digitar texto diretamente no smartphone infectado, assumindo controle quase total do aparelho.
Alguns dos aplicativos que receberam o malware Phantom e passaram a ameaçar usuários com fraudes de anúncio (Imagem: Doctor Web/Divulgação)
Segundo a Doctor Web, o malware Phantom está em constante evolução, ganhando novas capacidades. Módulos adicionais, funcionando como "droppers", foram incorporados para baixar componentes de fraude de múltiplos servidores, estabelecendo rotinas de cliques pré-definidas em diversos sites. Essa expansão visa aumentar a escala das fraudes de anúncio de forma massiva.
Proteja Seu Dispositivo: Evitando o Phantom e Outras Ameaças
Para o usuário, a invasão do Phantom não é óbvia. Os jogos e aplicativos infectados continuam funcionando normalmente na superfície, o que dificulta a detecção e atrai mais vítimas, especialmente aqueles com nomes familiares e alto número de downloads em lojas de aplicativos. É um lembrete crucial da necessidade de vigilância constante no cenário atual de ameaças digitais.
A principal recomendação é sempre evitar a instalação de aplicativos obtidos fora das lojas oficiais, como Google Play Store. Portais de APKs de terceiros e comunidades em aplicativos de mensagem são ambientes propícios para a distribuição de malwares como o Phantom. Priorize sempre fontes confiáveis e revise as permissões solicitadas pelos apps.