Android.Phantom: Trojaner infizieren Smartphones über Spiele und manipulierte App-Mods
Bedrohungen in Echtzeit | Hot news | Alle News
03. Februar 2026
Die Spezialisten des Virenlabors von Doctor Web haben eine neue Familie von Clicker-Trojanern erkannt und untersucht. Vertreter dieser Familie zeichnen sich dadurch aus, dass sie von dem Server hxxps[:]//dllpgd[.]click heruntergeladen werden oder durch von diesem Server gesendete Befehle ausgeführt werden. Diese bösartigen Anwendungen zielen auf Android-Smartphones ab.
Die Trojaner werden unter anderem über den offiziellen App-Store Xiaomi GetApps verbreitet.
Wir haben die Bedrohung in folgenden Android-Spielen erkannt: Creation Magic World (über 32.000 Downloads), Cute Pet House (über 34.000 Downloads), Amazing Unicorn Party (über 13.000 Downloads), Академия мечты Сакура (über 4.000 Downloads), Theft Auto Mafia (über 61.000 Downloads), Open World Gangsters (über 11.000 Downloads). Alle infizierten Android-Spiele mit dem integrierten Trojaner wurden von SHENZHEN RUIREN NETWORK CO., LTD. veröffentlicht. Beim Start der Spiele wird auch der Trojaner mitgestartet.
Die ursprünglichen Versionen der Spiele enthielten keine Bedrohungen. Am 28. und 29. September 2025 wurden Updates mit dem integrierten Trojaner Android.Phantom.2.origin veröffentlicht. Der Trojaner hat zwei Modi: „signaling“ und „phantom“.
Im phantom-Modus verwendet das bösartige Programm einen versteckten integrierten Browser, der auf dem WebView-Widget basiert. Per Befehl vom Server hxxps[:]//playstations[.]click werden die Zielwebsite, deren Inhalte geklickt werden sollen, und die JavaScript-Datei „phantom“ geladen. Diese Datei enthält ein Skript zur Automatisierung von Klicks auf Werbeanzeigen auf der geladenen Website sowie das Machine-Learning-Framework TensorFlowJS. Das Modell dieses Frameworks wird vom Server hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com in das Verzeichnis mit der Anwendung heruntergeladen. In Skripten für bestimmte Werbearten speichert Android.Phantom.2.origin den Browser auf einem virtuellen Bildschirm und erstellt Screenshots. Der Trojaner nutzt diese, um Modelle für das TensorFlowJS-Framework zu analysieren, und klickt dann auf die erkannten Elemente.
Im signaling-Modus verbindet sich der Trojaner über WebRTC mit einem dritten Server. Diese Technologie ermöglicht es Browsern und Anwendungen, eine direkte Verbindung herzustellen, um Daten, Audios und Videos in Echtzeit auszutauschen, ohne dass zusätzliche Software installiert werden muss. Im signaling-Modus fungiert der Server hxxps[:]//dllpgd[.]click als Signalisierungsserver und stellt Verbindungen zwischen WebRTC-Knoten her. Dieser Server bestimmt den Betriebsmodus des Trojaners: „phantom“ oder „signal“. Informationen über Zielwebsites werden von hxxps[:]//playstations[.]click gesendet. Anschließend sendet Android.Phantom.2.origin ein Video des virtuellen Bildschirms der im Browser geladenen Website an die Cyberkriminellen, ohne dass der Nutzer dies bemerkt. Der Trojaner ermöglicht es einem verbundenen WebRTC-Knoten, den Browser auf dem virtuellen Bildschirm remote zu steuern: klicken, scrollen, Text in das Eingabeformular eingeben oder einfügen.
Am 15. und 16. Oktober wurden weitere Updates für die erwähnten Spiele veröffentlicht. Neben Android.Phantom.2.origin wurde das Modul Android.Phantom.5 in die betroffenen Apps integriert. Bei diesem Modul handelt es sich um einen Dropper, der den Remote-Code-Loader Android.Phantom.4.origin enthält. Dieses Programm lädt weitere Trojaner, die Klicks auf Websites simulieren. Diese Module sind einfacher als Android.Phantom.2.origin – sie verwenden weder Machine Learning noch Videostreams, sondern werden durch in JavaScript geschriebene Skripte zum Ausführen von Klicks gesteuert.
Um die WebRTC-Technologie auf Android nutzen zu können, benötigt der Trojaner eine spezielle Bibliothek mit der Java-API. Diese Bibliothek ist weder im Standardbetriebssystem noch in heruntergeladenen Apps enthalten. Daher funktionierte der Trojaner ursprünglich meist im phantom-Modus. Mit der Integration von Android.Phantom.5 konnte Android.Phantom.2.origin den Remote-Code-Loader Android.Phantom.4.origin nutzen, um die benötigte Bibliothek zu verwenden.
Es gibt auch andere Wege für die Verbreitung von Android.Phantom.2.origin und Android.Phantom.5, z.B. Spotify-Mods mit Premium-Features. Diese werden auf verschiedenen Websites veröffentlicht:
Spotify Plus Website
Spotify Pro Website
Außerdem werden sie über Telegram-Kanäle verbreitet:
Spotify Pro
(54..400 Abonnenten)
Spotify Plus – Official
(15.057 Abonnenten)
Über diese Websites und Telegram-Kanäle verbreitete Spotify-Mods enthalten Android.Phantom.2.origin und die Bibliothek zur Herstellung von WebRTC-Verbindungen für Android.
Diese Trojaner werden auch in Mods anderer populärer Apps eingebettet: YouTube, Deezer, Netflix etc. Sie werden auf speziellen Websites mit Mods veröffentlicht:
Apkmody
Moddroid
Auf der Moddroid-Website gibt es die Rubrik „Editor Choices“. Nur 4 von 20 in dieser Rubrik empfohlenen Apps waren harmlos. Die restlichen 16 Apps enthielten Trojaner der Familie Android.Phantom. Alle auf diesen Websites angebotenen Apps werden vom CDN-Server hxxps[:]//cdn[.]topmongo[.]com geladen. Diese Websites verfügen über eigene Telegram-Kanäle, über die mit den Trojanern infizierte Mods heruntergeladen werden können:
Moddroid.com
(87.653 Abonnenten)
Apkmody Chat
(6.297 Abonnenten)
Außerdem verfügen Cyberkriminelle über eigene Discord-Server. Der größte davon ist Spotify X mit über 24.000 Abonnenten.
Die Administratoren dieser Discord-Server fordern Nutzer auf, die infizierten Mods herunterzuladen. Auf diesem Screenshot fordert der Administrator den Nutzer auf, einen Mod für den Musik-Streaming-Dienst Deezer statt von Spotify herunterzuladen.
Beim Klick auf den Link wird ein Mod heruntergeladen, dessen Code mit einem Packer geschützt ist. Der Mod enthält den Trojaner Android.Phantom.1.origin. Dieser stellt einen Remote-Code-Loader dar, der per Befehl vom Server hxxps[:]//dllpgd[.]click die oben erwähnten Trojaner Android.Phantom.2.origin, Android.Phantom.5 und Android.Phantom.5.origin herunterlädt. Der letztere sendet Informationen über das Gerät, die Handynummer, die Geräteortung sowie die Liste installierter Anwendungen an Cyberkriminelle.
Dieser Screenshot des Discord-Servers zeigt die Liste der von Nutzern ausgewählten Sprachen. Um auf den Chat in der gewünschten Sprache zugreifen zu können, muss der Nutzer die entsprechende Flagge als Reaktion auf die Nachricht hinzufügen. Die am häufigsten ausgewählten Sprachen sind Spanisch, Französisch, Deutsch, Polnisch und Italienisch (Englisch ist die Standardsprache des Servers). Für viele asiatische Sprachen sind keine Chats verfügbar.
Die Trojaner könnten viel Schaden auf dem betroffenen Gerät anrichten:
- Unabsichtliche Beteiligung an widerrechtlichen Aktivitäten: Das Smartphone des Nutzers könnte als Bot bei einem DDoS-Angriff genutzt werden. Dadurch wird der Nutzer zum Mitverbrecher der Cyberkriminellen.
- Illegale Aktivität: Das Smartphone des Nutzers könnte von Cyberkriminellen für illegale Online-Aktivitäten (Betrug, Spammailings etc.) genutzt werden.
- Erhöhter Akku- und Datenverbrauch: Zusätzliche Aktivitäten entladen den Akku und erhöhen den Internetverkehr.
- Diebstahl personenbezogener Daten: Android.Phantom.5.origin stellt ein Spyware-Programm dar und kann Informationen über das Gerät und den Nutzer an Cyberkriminelle übermitteln.
Trojaner dieser Familie sind besonders gefährlich für Android-Geräte, die nicht mit einem zuverlässigen Antivirus geschützt sind. Besonders gefährdet sind Kinder: sie spielen Handyspiele, hören sich Musik an und schauen Video, ohne sich Gedanken über die digitale Hygiene zu machen.
Wir raten nachdrücklich davon ab, Mods über fragwürdige Websites und Telegram-Kanäle herunterzuladen. Selbständig zu prüfen, ob eine Verbreitungsquelle von Mods oder Anwendungen sicher ist, erfordert Erfahrung und nimmt Zeit in Anspruch. Daher ist die Nutzung unseres Antivirus Dr.Web Security Space für mobile Geräte die beste Entscheidung für Ihre IT-Sicherheit und die Cybersicherheit Ihrer Familie. Das Programm schützt nicht nur Smartphones, sondern auch andere Smart-Geräte: Spielekonsolen, Tablets und Smart-TVs.
Indikatoren der Kompromittierung
Mehr zu Android.Phantom.1.origin
Mehr zu Android.Phantom.2.origin
Mehr zu Android.Phantom.3
Mehr zu Android.Phantom.4.origin
Mehr zu Android.Phantom.5
Mehr zu Android.Phantom.5.origin