Pesquisadores da Dr. Web identificaram uma nova e sofisticada família de trojans para Android que utiliza a biblioteca TensorFlow.js do Google para realizar fraudes de cliques. A ameaça utiliza inteligência artificial para analisar visualmente os anúncios e interagir com eles sem qualquer ação do usuário.
Diferente dos malwares tradicionais que dependem de códigos estáticos, este novo agente malicioso executa modelos de aprendizado de máquina para superar anúncios dinâmicos e vídeos. O malware está sendo distribuído principalmente através da loja GetApps da Xiaomi e plataformas de APK modificados.
O grande salto tecnológico desta ameaça reside na substituição de rotinas predefinidas por análise visual em tempo real. Ao carregar modelos treinados de um servidor remoto, o malware utiliza o TensorFlow.js para identificar elementos relevantes na tela e mimetizar o comportamento humano.
O processo ocorre de forma invisível ao proprietário do dispositivo. O agente malicioso opera em uma WebView oculta dentro de uma tela virtual, o que impede que a vítima perceba qualquer atividade suspeita enquanto o processador e a bateria são consumidos intensamente.
O malware opera em duas frentes distintas de ataque. No Modo Fantasma, o sistema utiliza um navegador oculto para automatizar toques em anúncios. Já o Modo Sinalização utiliza o protocolo WebRTC para transmitir um feed de vídeo ao vivo do aparelho para os criminosos.
Essa conexão via WebRTC permite que os atacantes assumam o controle remoto do smartphone. Eles podem realizar ações manuais como rolagem de tela e digitação de texto, transformando o celular infectado em uma ferramenta para roubo de dados ou propagação de novos ataques.
A investigação da Dr. Web identificou diversos títulos distribuídos pela loja da Xiaomi que carregam o código malicioso em atualizações subsequentes. Os números de instalações revelam o impacto considerável do malware.
- Theft Auto Mafia — 61.000 downloads
- Cute Pet House — 34.000 downloads
- Creation Magic World — 32.000 downloads
- Amazing Unicorn Party — 13.000 downloads
- Open World Gangsters — 11.000 downloads
- Sakura Dream Academy — 4.000 downloads
Além da loja da Xiaomi, o malware se espalha agressivamente por canais do Telegram e sites como Apkmody e Moddroid. Essas plataformas oferecem versões modificadas de aplicativos como Spotify, Netflix e YouTube que já vêm com o componente malicioso integrado.
O impacto para o usuário vai além da fraude financeira contra anunciantes. O malware causa degradação prematura da bateria e consumo excessivo de dados móveis devido ao processamento constante de modelos de IA e transmissão de vídeo em segundo plano.
Um porta-voz do Google procurou o site Android Authority para comentar a reportagem e esclareceu que o Play Protect já possui mecanismos de detecção automática para bloquear versões conhecidas desta ameaça. A recomendação oficial é evitar a instalação de arquivos APK de fontes externas e manter o sistema de segurança nativo do Android sempre ativado.
Comentários