AndroidゲームMODに隠されたPhantomマルウェアが端末を乗っ取り、遠隔操作と機械学習を用いてユーザー行動を模倣しながら、密かに広告不正を実行します。
Doctor Webのアンチウイルス研究所の研究者によると、改変されたゲームやアプリをインストールするAndroidスマートフォンの所有者は、端末をクリック詐欺の道具に変える新たな脅威に直面しています。このマルウェアはAndroid.Phantomとして追跡されているファミリーの一部で、人気タイトルに同梱され、非公式アプリ配布元やサードパーティストアを通じて拡散しています。
研究者がこの亜種に最初に気づいたのは、2025年9月下旬に単一の開発者アカウントから配信された更新後、複数のAndroidゲームが不審な挙動を示し始めたことがきっかけでした。Creation Magic World、Cute Pet House、Theft Auto Mafiaといったタイトルは2025年9月以前はクリーンでしたが、その後に配布されたバージョンにはトロイの木馬が同梱されていました。インストールされると、マルウェアはユーザーに目立つ警告を出すことなく、ゲームと同時に起動します。
Doctor Webの報告によると、Android.Phantomファミリーは、リモートサーバーからのコマンドで制御される2つのモードで動作します。いわゆる「phantom」モードでは、マルウェアが隠しブラウザコンポーネントを使って指定されたWebページを読み込み、その後スクリプトと機械学習モデルをダウンロードして広告を解析・操作し、実際のユーザークリックを模倣します。また、この操作の自動化を支援するため、外部ホストから機械学習コードも取得します。
もう一方のモードでは、WebRTCを用いてピアツーピア接続を確立し、遠隔の操作者がユーザーの仮想画面をリアルタイムで見て操作できるようにします。このリモートセッションでは、スクロール、タップ、テキスト入力などの操作を感染端末上で直接実行できます。
Doctor Webはまた、Android.Phantomツールキットの利用が時間とともに増加しており、定期的な更新で新機能が追加されているとも指摘しました。追加モジュールの1つはドロッパーとして機能し、別のサーバーからさらにクリック詐欺コンポーネントを取得します。これら追加要素は、他の標的サイトに対する事前定義されたクリック手順に焦点を当て、不正の規模を拡大します。
この脅威の兆候は、ユーザーにとって分かりにくい点にも注意が必要です。影響を受けたゲームは表面上は正常に動作し、馴染みのある名前や高いダウンロード数で被害者を誘い込みつつ、裏では密かな活動がバックグラウンドで実行されます。研究者は、公式アプリストア以外から入手したインストーラーが最もリスクが高く、特にAPKポータルやメッセージングアプリのコミュニティチャンネルから入手した場合は危険だと警告しています。
Android端末でもiPhoneでも、サードパーティストアからアプリをインストールするのは避けるのが最善です。公式アプリストアでさえ万全ではなく、過去にはサイバー犯罪者が悪意のあるアプリを紛れ込ませた例もあります。ダウンロードする前に、必ずもう一度よく考えましょう。
翻訳元: https://hackread.com/phantom-malware-android-game-mods-ad-fraud/
