隐藏在安卓游戏模组中的幽灵恶意软件

Dr.Web反病毒实验室研究人员报告，安装修改版游戏和应用的安卓智能手机用户正面临新威胁，其设备可能沦为点击欺诈工具。这款被追踪为Android.Phantom家族的恶意软件，被发现捆绑在热门游戏中，通过非官方应用源和第三方商店传播。

研究人员最初是在2025年9月下旬注意到这一恶意变种，当时来自同一开发者账号的多款安卓游戏在更新后出现可疑行为。《创造魔法世界》《可爱宠物屋》《窃盗汽车黑帮》等游戏在2025年9月前尚属安全，但后续分发版本均捆绑了该木马。一旦安装，恶意软件会随游戏启动，用户不会收到任何可见提示。

据Dr.Web报告，Android.Phantom家族通过远程服务器指令控制，以两种模式运行。在所谓的"隐身模式"下，恶意软件会调用隐藏的浏览器组件加载指定网页，随后下载脚本和机器学习模型来分析广告并模拟真实用户点击。它还会从外部主机拉取机器学习代码，辅助实现交互自动化。

在另一种模式下，该恶意软件会通过WebRTC技术建立点对点连接，使远程控制者能实时查看并操作用户的虚拟屏幕。远程会话可直接在受感染设备上执行滚动、点击、文本输入等操作。

Dr.Web同时指出，Android.Phantom工具包的使用范围正在扩大，其定期更新不断增加新功能。一个额外模块充当投放器，能从不同服务器拉取更多点击欺诈组件。这些新增模块专注于在其他目标网站执行预定义的点击操作，从而扩大欺诈规模。

需要指出的是，用户很难察觉到这一威胁的迹象。受影响的游戏表面运行正常，披着熟悉的名称和高下载量的伪装诱骗受害者，而隐蔽活动则在后台持续进行。研究人员警告，官方应用商店外的安装包风险最高，尤其是通过APK下载站或即时通讯应用的社群渠道获取的软件。

无论使用安卓设备还是iPhone，最好避免从第三方商店安装应用。即使是官方应用商店也并非万无一失，网络犯罪分子过去也曾成功将恶意应用混入其中。下载前务必三思。