Mới đây, các chuyên gia bảo mật của Dr.Web đã phát hiện một họ Trojan Android mới tên là Android.Phantom.2.origin, âm thầm chiếm quyền điều khiển điện thoại để phục vụ hoạt động gian lận quảng cáo quy mô lớn.
Các ứng dụng nhiễm mã độc bạn nên xóa ngay lập tức
Qua quá trình phân tích, Dr.Web xác định một loạt trò chơi Android chứa mã độc Android.Phantom.2.origin, bao gồm:
Creation Magic World hơn 32.000 lượt tải
Cute Pet House hơn 34.000 lượt tải
Amazing Unicorn Party hơn 13.000 lượt tải
Sakura Dream Academy hơn 4.000 lượt tải
Theft Auto Mafia hơn 61.000 lượt tải
Open World Gangsters hơn 11.000 lượt tải
Tất cả các trò chơi này đều do SHENZHEN RUIREN NETWORK CO., LTD. phát triển. Điều đáng chú ý là các phiên bản ban đầu hoàn toàn không chứa mã độc. Phần mềm độc hại chỉ xuất hiện sau các bản cập nhật được phát hành vào cuối tháng 9-2025.
Android.Phantom.2.origin hoạt động như thế nào?
Không giống nhiều mã độc Android truyền thống chuyên đánh cắp dữ liệu cá nhân, Android.Phantom.2.origin tập trung vào việc gian lận quảng cáo.
Ở chế độ hoạt động chính, Trojan sử dụng một trình duyệt ẩn dựa trên WebView, tải các trang web quảng cáo theo lệnh từ máy chủ điều khiển. Mã JavaScript được tải kèm sẽ tự động thực hiện các thao tác như cuộn trang, nhấp quảng cáo, mô phỏng hành vi người dùng thật.
Đáng lo ngại hơn, mã độc còn tích hợp TensorFlowJS, một thư viện học máy, để phân tích ảnh chụp màn hình và xác định chính xác vị trí cần nhấp. Điều này giúp các cú nhấp chuột trở nên “tự nhiên” hơn, khó bị hệ thống quảng cáo phát hiện.
Ở chế độ nâng cao, Android.Phantom.2.origin sử dụng WebRTC để thiết lập kết nối trực tiếp với máy chủ điều khiển. Trong trường hợp này, kẻ tấn công có thể xem luồng hình ảnh từ trình duyệt ảo trên thiết bị, đồng thời điều khiển từ xa các thao tác như nhấp chuột, cuộn trang hoặc nhập dữ liệu.
Theo Dr.Web, vào giữa tháng 10-2025, các trò chơi nói trên tiếp tục được cập nhật và bổ sung thêm module Android.Phantom.5, đóng vai trò như một trạm trung chuyển, tải thêm các phần mềm độc hại khác.
Người dùng điện thoại Android cần làm gì?
- Xóa ngay lập tức các ứng dụng nằm trong danh sách bị cảnh báo
- Hạn chế cài đặt trò chơi và ứng dụng từ nhà phát triển không rõ danh tính
- Tránh sử dụng ứng dụng chỉnh sửa, mở khóa tính năng trả phí
- Cập nhật hệ điều hành và bật Google Play Protect hoặc phần mềm bảo mật uy tín
Mặc dù Android.Phantom.2.origin không trực tiếp đánh cắp tài khoản hay dữ liệu cá nhân, nhưng việc thiết bị bị lợi dụng cho hoạt động gian lận có thể khiến hiệu năng suy giảm, hao pin bất thường và tiềm ẩn rủi ro bảo mật lâu dài.
