Un nuevo troyano para Android se oculta en juegos y usa la IA para clicar en anuncios maliciosos

El aumento inusual en el consumo de batería y tráfico de datos puede alertar a los propietarios de dispositivos Android sobre la posible presencia de un troyano avanzado que opera de manera encubierta. Según informó Doctor Web en su blog, especialistas en ciberseguridad detectaron recientemente una nueva familia de software malicioso que se infiltra en teléfonos mediante aplicaciones aparentemente legítimas, pero alteradas. El código, denominado Android.Phantom, utiliza aprendizaje automático no solo para interactuar de forma automatizada con anuncios sospechosos, sino también para ejecutar varias actividades ilícitas, incluyendo ataques de denegación de servicio y robo de datos.

El medio Doctor Web detalló que este troyano se distribuye en modificaciones de juegos y aplicaciones populares, principalmente a través de versiones alteradas que se comparten en tiendas de aplicaciones menos conocidas y canales alternativos de descarga, especialmente aquellos que no forman parte de las vías oficiales. Una de las tiendas señaladas como origen de este código malicioso corresponde a la plataforma de aplicaciones para dispositivos Xiaomi, donde el desarrollador Shenzhen Ruiren Network cargó inicialmente versiones legítimas de los juegos, pero incluyó el troyano mediante una actualización posterior. Además, según consignó Doctor Web, el troyano también se encuentra en una modificación de Spotify que ofrece supuestas funciones avanzadas y se distribuye a través de canales de Telegram y páginas web externas.

El troyano Android.Phantom cuenta con dos modos de operación; la selección de uno u otro depende de las instrucciones que recibe desde un servidor externo al que se conecta de manera remota. En el denominado modo fantasma, el software malicioso carga contenido web y realiza clics automáticos en anuncios fraudulentos mediante la combinación de scripts de automatización y el framework TensorFlowJS basado en aprendizaje automático. De acuerdo con la investigación publicada por Doctor Web, dicho procedimiento incrementa artificialmente la interacción con publicidad maliciosa y potencia los ingresos de quienes operan el troyano.

Por otro lado, el modo señalización permite que el teléfono comprometido pueda intercambiar datos, audio y video en tiempo real sin que sea necesario instalar programas adicionales. Esta capacidad facilita que los atacantes aprovechen los dispositivos infectados para participar en acciones coordinadas, como ataques de denegación de servicio (DDoS), enviar mensajes no solicitados (‘spam’) y llevar a cabo otros fraudes en línea. Además, el troyano permite robar la información almacenada en el teléfono, lo que puede exponer datos personales y confidenciales de los usuarios, detalló el laboratorio de seguridad.

El informe de Doctor Web advierte sobre el riesgo de descargar archivos APK modificados desde sitios web o canales de Telegram cuya procedencia no sea clara o segura, ya que representan un vector frecuente de propagación del malware. Los especialistas subrayan que, para mantener la seguridad de los teléfonos Android, resulta esencial evitar la instalación de aplicaciones fuera de las tiendas oficiales y emplear soluciones antivirus que se mantengan actualizadas.

La investigación subraya que la actividad ilegal de este troyano no solo perjudica económicamente a las víctimas al utilizar sus recursos, como la batería y el tráfico de datos, sino que también puede comprometer la privacidad y la integridad de la información almacenada en los dispositivos. Además, la utilización de herramientas de inteligencia artificial y marcos de aprendizaje automático, como TensorFlowJS, en la automatización de funciones maliciosas representa un avance técnico que dificulta la detección temprana y aumenta la complejidad de las defensas necesarias.

Desde el laboratorio de seguridad, se remarcó que la amenaza sigue activa y puede adaptarse a distintos entornos y métodos de distribución. Los expertos insisten en la importancia de que los usuarios permanezcan atentos a patrones anómalos en el funcionamiento de sus dispositivos, como descargas inesperadas de batería o tráfico de datos excesivo, factores que suelen asociarse a la acción de troyanos como Android.Phantom. Según detalló Doctor Web, la vigilancia continua y la educación en buenas prácticas digitales son herramientas claves para mitigar el impacto de este tipo de amenazas.