Attenzione al nuovo malware per Android: sfrutta l'IA per cliccare su annunci nascosti

Una nuova minaccia per dispositivi Android utilizza l'intelligenza artificiale per condurre sofisticate frodi pubblicitarie. I ricercatori della società di sicurezza Dr.Web hanno scoperto questa famiglia di trojan click-fraud, distribuita principalmente attraverso lo store GetApps ufficiale di Xiaomi e siti di terze parti.

A differenza dei tradizionali script JavaScript, il malware sfrutta modelli di machine learning basati su TensorFlow.js per analizzare screenshot e identificare elementi pubblicitari dinamici, inclusi quelli in iframe o video.

Il funzionamento si basa su due modalità principali. Nella modalità "phantom", un browser WebView nascosto carica pagine target e un file JavaScript che carica il modello AI da un server remoto; il sistema scatta screenshot su uno schermo virtuale, li processa con TensorFlow per localizzare ed eseguire un tocco virtuale sugli annunci, simulando un'interazione reale. Questa tecnica risulta più resiliente contro le variazioni degli annunci moderni. Nella modalità "signalling", WebRTC trasmette un feed video live agli attaccanti, consentendo controlli remoti come tap, scroll e input testo.

La distribuzione avviene inizialmente con app "pulite" inviate a GetApps, che ricevono componenti malevoli negli aggiornamenti successivi. Tra i giochi infetti identificati figurano Theft Auto Mafia con 61.000 download, Cute Pet House con 34.000, Creation Magic World con 32.000, Amazing Unicorn Party con 13.000, Open World Gangsters con 11.000 e Sakura Dream Academy con 4.000. Oltre a GetApps, il malware infesta versioni modificate di app popolari come Spotify, YouTube, Deezer e Netflix su siti come Apkmody e Moddroid, dove gran parte della sezione 'Editor's Choice' risulta compromessa; infine su canali Telegram e server Discord vengono promosse ulteriori varianti.

Queste app spesso funzionano correttamente, riducendo i sospetti degli utenti, mentre parallelamente l'attività fraudolenta avviene in un WebView su schermo virtuale invisibile. Gli effetti diretti sulle vittime includono un anomalo consumo della batteria, degrado prematuro del dispositivo e aumenti nel consumo dei dati mobili, senza al momento minacce immediate alla privacy o ai dati sensibili. Dr.Web conferma che i trojan, noti come Android.Phantom, si connettono a server come dllpgd.click per comandi remoti. E' chiaro che questo meccanismo potrebbe essere sfruttato per effettuare "click" virtuali su banner che possono condurre ad ulteriori minacce.

Per proteggersi è, come sempre, consigliato di evitare installazioni da fonti esterne a Google Play, specialmente mod o versioni premium gratuite di app note. Affidarsi store ufficiali e mantenere le soluzioni antivirus aggiornate riduce ulteriormente i rischi. Questa campagna evidenzia l'evoluzione delle frodi click verso tecniche AI-based, più difficili da rilevare per i sistemi anti-frode tradizionali.