Android.Phantom : des chevaux de Troie Android diffusés via jeux et applications piratées

Real-time threat news | Hot news | Toutes les actualités

Le 3 février 2026

Les chevaux de Troie de la famille Android.Phantom infiltrent des smartphones via des jeux et des versions modifiées piratées d'applications populaires. Ils utilisent l'apprentissage automatique et le streaming vidéo pour augmenter le nombre de clics.

Des spécialistes du laboratoire antivirus Doctor Web ont détecté et analysé une nouvelle famille de chevaux de Troie dotés d'une fonctionnalité de clicker. Ils ont une chose en commun : ils sont soit contrôlés depuis le serveur hxxps[:]//dllpgd[.]click, soit téléchargés et exécutés par commande depuis celui-ci.

Ce type de logiciel malveillant infecte les smartphones fonctionnant sous Android.

L'un des canaux de propagation des chevaux de Troie est le catalogue officiel d'applications pour les appareils Xiaomi, GetApps.

#drweb #drweb 

Nous avons identifié plusieurs jeux mobiles contenant des logiciels malveillants : Creation Magic World (plus de 32 000 téléchargements), Cute Pet House (>34 000 téléchargements), Amazing Unicorn Party (>13 000 téléchargements), Академия мечты Сакура (>4 000 téléchargements), Theft Auto Mafia (>61 000 téléchargements), Open World Gangsters (>11 000 téléchargements). Tous les jeux infectés sont publiés pour le compte du seul développeur, SHENZHEN RUIREN NETWORK CO., LTD. Des chevaux de Troie y sont intégrés et s'exécutent en même temps que les applications.

Les versions initiales des jeux ne contenaient aucun logiciel malveillant. Le 28 et le 29 septembre, le développeur a publié des mises à jour pour les jeux contenant le cheval de Troie Android.Phantom.2.origin. Il fonctionne dans deux modes, qui dans le code du programme sont conventionnellement appelés mode de signalisation (signaling) et mode fantôme (phantom).

En mode fantôme, le logiciel malveillant utilise un navigateur intégré basé sur le widget WebView, caché à l'utilisateur. Le site cible pour l'augmentation des clics et le fichier JavaScript « phantom » y sont chargés sur commande depuis le serveur hxxps[:]//playstations[.]click. Ce dernier contient un script permettant d'automatiser les actions sur les publicités du site chargé et le framework d'apprentissage automatique TensorFlowJS. Le modèle de ce framework est téléchargé depuis le serveur hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com vers le répertoire de l'application. Dans certains scénarios de fonctionnement avec certains types de publicité, Android.Phantom.2.origin place un navigateur sur un écran virtuel et prend des captures d'écran. Le Trojan les analyse à l'aide d'un modèle pour le framework TensorFlowJS, puis clique sur les éléments détectés.

En mode signalisation, le cheval de Troie se connecte à un serveur tiers via WebRTC. Cette technologie permet aux navigateurs et aux applications d'établir une connexion directe pour échanger des données, de l'audio et de la vidéo en temps réel sans installer de logiciel supplémentaire. En mode signaling, le hxxps[:]//dllpgd[.]click déjà mentionné agit comme un serveur de signalisation, établissant des connexions entre les nœuds WebRTC. Ce serveur détermine également le mode de fonctionnement du cheval de Troie : phantom ou signaling. Les tâches avec des sites cibles proviennent de hxxps[:]//playstations[.]click. Puis, à l’insu de l’utilisateur, Android.Phantom.2.origin diffuse aux attaquants, une vidéo de l'écran virtuel affichant le site web chargé dans le navigateur. Le cheval de Troie permet à un nœud WebRTC connecté de contrôler à distance le navigateur sur un écran virtuel : cliquer, faire défiler, saisir ou coller du texte dans un formulaire de saisie.

Le 15 et le 16 octobre, les jeux mentionnés ci-dessus ont reçu une nouvelle mise à jour. En plus d'Android.Phantom.2.origin, ils ont reçu le module intégré Android.Phantom.5. Il s'agit d'un dropper (programme d'installation) contenant le chargeur de code distant Android.Phantom.4.origin. Ce programme télécharge plusieurs autres chevaux de Troie conçus pour simuler des clics sur différents sites web. Ces modules sont plus simples que le clicker Android.Phantom.2.origin : ils n'utilisent ni apprentissage automatique ni streaming vidéo, mais sont pilotés par des scripts de clic écrits en JavaScript.

Pour utiliser la technologie WebRTC sous Android, le cheval de Troie doit se connecter à une bibliothèque spécialisée via l'API Java, qui n'est pas incluse dans le système d'exploitation standard ni dans les applications téléchargées. Par conséquent, dans un premier temps, le cheval de Troie fonctionnait principalement en mode phantom. Avec l'ajout d'Android.Phantom.5, à l'application, le Trojan Android.Phantom.2.origin a acquis la capacité d'utiliser le chargeur de code distant Android.Phantom.4.origin pour charger la bibliothèque nécessaire.

Les attaquants utilisent également d'autres canaux pour distribuer les chevaux de Troie Android.Phantom.2.origin et Android.Phantom.5. Par exemple, des mods pour le streaming musical Spotify avec des fonctionnalités premium débloquées. Elles sont publiées sur différents sites web, voici quelques exemples :

#drweb

Site Spotify Plus

#drweb

Site Spotify Pro

Et dans les canaux Telegram spécialisés :

#drweb

Spotify Pro
(54 400 abonnés)

#drweb

Spotify Plus – Official
(15 057 abonnés)

Les mods Spotify publiés sur les sites web et dans les chaînes Telegram présentés dans les captures d'écran contiennent Android.Phantom.2.origin et une bibliothèque pour la communication WebRTC sur Android.

A part les mods Spotify, les pirates installent également des chevaux de Troie dans les mods d'autres applications populaires : YouTube, Deezer, Netflix et autres. Ils sont publiés sur des sites de mods spécialisés :

#drweb

Site Apkmody

#drweb

Site Moddroid

Le site web Moddroid contient une section « Choix de l'éditeur ». Sur les 20 applications qu'elle contenait, seules 4 étaient saines. Les 16 autres contenaient des chevaux de Troie de la famille Android.Phantom. Les applications de ces deux sites sont téléchargées à partir du même serveur CDN hxxps[:]//cdn[.]topmongo[.]com. Ces sites possèdent leurs propres canaux Telegram où les utilisateurs téléchargent des mods infectés par des chevaux de Troie :

#drweb

Moddroid.com
(87 653 abonnés)

#drweb

Apkmody Chat
(6 297 abonnés)

Les criminels utilisent également les serveurs Discord à leurs propres fins. Le plus important d'entre eux est Spotify X, avec environ 24 000 abonnés.

#drweb
#drweb

Les administrateurs de serveurs Discord n'hésitent pas à proposer directement des mods infectés. Par exemple, dans la capture d'écran ci-dessus, l'administrateur du serveur propose de télécharger un mod pour le service de streaming musical Deezer au lieu de Spotify, ce dernier ayant cessé de fonctionner.

Le mod opérationnel peut être téléchargé via le lien. Son code est protégé par un outil d'empaquetage commercial, à l'intérieur duquel le cheval de Troie Android.Phantom.1.origin est dissimulé. Il s'agit d'un chargeur de code distant ; sur commande du serveur hxxps[:]//dllpgd[.]click, il charge Android.Phantom.2.origin, Android.Phantom.5 et le Trojan espion Android.Phantom.5.origin. Ce dernier transmet aux attaquants des informations sur l'appareil, notamment, le numéro de téléphone, la géolocalisation et la liste des applications installées.

#drweb

La capture d'écran du serveur montre les langues parlées par les utilisateurs qui deviennent des cibles d'infection. Pour accéder aux discussions dans des langues autres que l'anglais, vous devez configurer une réaction avec le drapeau approprié. Les langues les plus populaires pour s'enregistrer étaient l'espagnol, le français, l'allemand, le polonais et l'italien (sans compter l'anglais, qui est la langue principale du serveur). De plus, les administrateurs du serveur n'ont pas mis en place de chat pour de nombreux pays asiatiques.

Les chevaux de Troie peuvent causer des dommages importants aux propriétaires des appareils infectés. Voici quelques résultats possibles :

  • Complicité involontaire : Le smartphone d'un utilisateur peut être utilisé comme un bot dans une attaque DDoS, faisant ainsi de son propriétaire un complice involontaire de la cybercriminalité.
  • Activité illégale : L'appareil peut être utilisé par des pirates informatiques pour se livrer à des activités illégales en ligne, comme l'utilisation du smartphone pour des escroqueries ou l'envoi de messages indésirables.
  • Augmentation de la consommation de la batterie et du trafic : Les activités superflues entrainent une consommation accrue de la batterie et du forfait internet.
  • Fuite de données personnelles : Android.Phantom.5.origin est un logiciel espion capable de transmettre des données concernant l'appareil et son propriétaire.

Les chevaux de Troie de cette famille constituent une menace pour les propriétaires d'appareils mobiles Android qui ne sont pas protégés par un logiciel antivirus à jour. Les jeunes utilisateurs qui ne se soucient pas des règles d'hygiène numérique et qui veulent simplement jouer à des jeux, écouter de la musique ou regarder des clips vidéo sont particulièrement exposés.

Nous vous recommandons de ne pas télécharger de mods provenant de sites web et de chaînes douteux. En règle générale, vérifier les sources des mods ou des applications nécessite du temps, de l'expérience et de l'observation. Par conséquent, la meilleure option pour assurer votre tranquillité d'esprit et celle de vos proches est d'utiliser Dr.Web Security Space pour les appareils mobiles. Cette solution protégera non seulement vos smartphones, mais également vos autres appareils intelligents : consoles de jeux, tablettes, téléviseurs connectés.

Indicateurs de compromission
Plus d'info sur Android.Phantom.1.origin
Plus d'info sur Android.Phantom.2.origin
Plus d'info sur Android.Phantom.3
Plus d'info sur Android.Phantom.4.origin
Plus d'info sur Android.Phantom.5
Plus d'info sur Android.Phantom.5.origin

0
Dernières news Toutes les news