Pesquisadores de segurança da empresa Doctor Web identificaram uma nova ameaça que vem preocupando os usuários de smartphones Android. O malware, denominado Phantom, se infiltra em jogos e aplicativos modificados da plataforma móvel, transformando os dispositivos dos usuários em veículos para fraudes publicitárias. Isso ocorre sem o consentimento ou conhecimento dos usuários, uma vez que o malware se encarrega de clicar e interagir com anúncios automaticamente.
Os primeiros sinais de atividade maliciosa foram detectados no final de setembro de 2025. Durante este período, diversos jogos que pareciam legítimos começaram a apresentar comportamentos estranhos. Estes jogos, veiculados por uma única conta de desenvolvedor, incluem títulos como “Creation Magic World”, “Cute Pet House” e “Theft Auto Mafia”. Estes aplicativos, inicialmente seguros, foram atualizados para carregar o trojan Android.Phantom de forma invisível aos usuários, preocupando especialistas em segurança digital.
O funcionamento do Phantom no Android ocorre através de dois modos distintos, ambos controlados remotamente por servidores. No “modo phantom”, o malware utiliza um componente oculto de navegador para carregar páginas específicas. A partir daí, ele baixa um script e um modelo de aprendizado de máquina projetado para analisar anúncios e simular cliques. Outro modo alternativo permite o estabelecimento de uma conexão ponto a ponto (P2P) usando WebRTC, possibilitando que as pessoas por trás do ataque visualizem e interajam com a tela da vítima em tempo real. Essa sessão remota consegue rolar a tela, clicar e até digitar texto no aparelho infectado.
De acordo com a Doctor Web, o uso desse tipo de malware está em ascendência. O Phantom vem ganhando novas funcionalidades, incluindo módulos que servem como dropper — um mecanismo para baixar mais componentes que perpetuam a fraude. Desta maneira, rotinas de cliques predefinidos são criadas em uma variedade de sites, amplificando o alcance e o impacto da fraude publicitária.
Para o usuário, a presença do malware pode passar completamente despercebida. Os jogos aparentam funcionar normalmente, o que atrai ainda mais vítimas, especialmente pela Play Store, devido aos nomes conhecidos e ao alto volume de downloads. Aplicativos obtidos fora das lojas oficiais são ainda mais suscetíveis a esse tipo de ameaça, principalmente aqueles baixados de portais de APKs ou comunidades em aplicativos de mensagens.
A segurança dos usuários Android pode ser melhorada evitando-se a instalação de aplicativos de fontes desconhecidas ou lojas de terceiros, que frequentemente incluem malwares como o Phantom. O cuidado é essencial para evitar transformar o celular em uma ferramenta auxiliar de cibercriminosos.