文章总结： Dr.Web发现一种新型安卓木马利用TensorFlow.js模型进行点击欺诈，通过小米GetApps及第三方APK传播。该木马在隐藏WebView中使用视觉分析识别广告，具备幻影和信号传递模式。感染多款游戏及修改版应用，导致设备耗电快和流量消耗，建议用户避免在官方商店外安装应用。 综合评分： 85 文章分类： 移动安全,恶意软件,威胁情报,安全意识

新型安卓恶意软件利用人工智能技术点击隐藏的浏览器广告

Rhinoer Rhinoer

犀牛安全

2026年1月28日 00:00 北京

一种新型的安卓点击欺诈木马利用 TensorFlow 机器学习模型自动检测特定广告元素并与之交互。

该机制依赖于基于机器学习的视觉分析，而不是预定义的 JavaScript 点击例程，并且不涉及像经典点击欺诈木马那样的基于脚本的 DOM 级交互。

攻击者正在使用 TensorFlow.js，这是一个由谷歌开发的开源库，用于在 JavaScript 中训练和部署机器学习模型。它允许在浏览器或使用 Node.js 的服务器上运行 AI 模型。

移动安全公司 Dr.Web 的研究人员发现，这种新型 Android 木马病毒是通过小米设备的官方应用商店 GetApps 进行传播的。

他们发现，这种恶意软件可以以一种名为“幻影”的模式运行，该模式使用一个隐藏的、基于WebView的嵌入式浏览器来加载目标页面（用于点击欺诈）和一个JavaScript文件。该脚本的目的是自动执行加载网站上显示的广告操作。

从远程服务器加载训练好的模型后，将隐藏的浏览器放置在虚拟屏幕上，并截取屏幕截图供 TensorFlow.js 分析和识别相关元素。

通过点击正确的用户界面元素，恶意软件可以模拟用户的正常操作。这种方法更有效，也更能抵御现代广告的多样化变化，因为大多数广告都是动态的，结构经常变化，而且通常使用 iframe 或视频。

第二种模式称为“信号传递”，它使用 WebRTC 将虚拟浏览器屏幕的实时视频流传输给攻击者，使他们能够执行点击、滚动和输入文本等实时操作。

攻击者通过小米的GetApps软件目录，将恶意软件植入游戏中进行传播。这些应用最初提交时并不包含恶意功能，而是在后续更新中添加了恶意组件。

Doctor Web 识别出的部分受感染游戏包括：

• 侠盗猎车手：黑手党——下载量 61,000次
• 可爱宠物屋——下载量34000次
• 创造魔法世界——下载量32000次
• 神奇独角兽派对——下载量达13000次
• 开放世界黑帮游戏——下载量11000次
• 樱花梦幻学院——下载量4000次

除了小米自家的应用程序外，这些木马程序还通过第三方 APK 网站（例如 Apkmody 和 Moddroid）分发，这些网站提供的是 Spotify、YouTube、Deezer 和 Netflix 等应用程序的修改版本，也就是所谓的 mod。

研究人员表示 ，Moddroid“编辑精选”页面上的大多数应用程序都已被感染。

受感染的 APK 文件也会通过 Telegram 频道传播，一些应用程序示例包括 Spotify Pro、Spotify Plus – Official、Moddroid.com 和 Apkmody Chat。

Dr.Web 还发现了一个拥有 24,000 名订阅者的 Discord 服务器，该服务器正在推送一个名为 Spotify X 的受感染应用程序。

研究人员指出，至少部分此类应用“确实有效”，这降低了用户的怀疑。再加上点击欺诈是在隐藏的 WebView 中秘密执行的，该 WebView 会在虚拟屏幕上渲染内容，这意味着受害者不会察觉到任何恶意活动的迹象。

虽然点击劫持和广告欺诈不会立即威胁到用户的隐私和数据安全，但它们却是利润丰厚的网络犯罪活动。对用户的直接影响包括电池电量快速消耗、设备过早老化以及移动数据流量费用增加。

建议安卓用户避免在 Google Play 商店之外安装应用，尤其是那些承诺提供额外功能或免费高级订阅服务的热门应用的替代版本。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《新型安卓恶意软件利用人工智能技术点击隐藏的浏览器广告》