Malware

Android.MagicAd

For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial

MITRE ATT&CK

Techniques & procedures

9 distinct techniques documented for this family, organized by ATT&CK tactic.

Initial Access

1 technique

T1199Trusted RelationshipEvidence1

Малварь распространялась через официальный каталог Xiaomi GetApps (более чем в 50 играх и приложениях), а также встречалась в Samsung Galaxy Store.

Execution

2 techniques

T1059Command and Scripting InterpreterEvidence1

Затем с помощью adb-команды вредонос имитирует нажатие кнопки записи, после чего закрывает окно плеера.

T1106Native APIEvidence1

Для устройств Vivo предусмотрена отдельная схема. В этом случае троян использует Android Binder (системный компонент, обеспечивающий взаимодействие между процессами) и нацеливается на системные приложения iManager, телефонную книгу, Vivo Browser и Baidu IME Customized...

Persistence

1 technique

T1547Boot or Logon Autostart ExecutionEvidence1

Для поддержания активности троян использует канал уведомлений и планировщик задач Android, который регулярно перезапускает его компоненты.

Privilege Escalation

2 techniques

T1547Boot or Logon Autostart ExecutionEvidence1

T1548Abuse Elevation Control MechanismEvidence1

Основная задача малвари — показ рекламы, который осуществляется поверх других окон без получения разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для подобных действий.

Stealth

4 techniques

T1140Deobfuscate/Decode Files or InformationEvidence1

Некоторые функции MagicAd скрыты внутри зашифрованных нативных библиотек. Во время работы троян расшифровывает их, извлекает необходимые модули и запускает их в памяти устройства.

T1211Exploitation for Defense EvasionEvidence1

Для обхода ограничений Android малварь злоупотребляет механизмом намерений (Intent), адресованных другим приложениям... на устройствах Xiaomi троян взаимодействует с системными компонентами Mi Browser и Miui SystemUI... на устройствах Amazon TV использует лаунчер Amazon Fire TV Home Screen.

T1497Virtualization/Sandbox EvasionEvidence1

Перед активацией малварь проверяет окружение, пытаясь определить, не работает ли она в виртуальной среде, а также анализирует способ установки приложения, проверяет IP-адрес жертвы и выполняет ряд других тестов.

T1564Hide ArtifactsEvidence1

Если ничего подозрительного не обнаружено, вредонос скрывает свой значок из меню приложений и запускает набор сервисов, отвечающих за постоянную работу в фоновом режиме.

Discovery

1 technique

T1497Virtualization/Sandbox EvasionEvidence1

ACTIVITY FEED

Recent activity

1 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

1 SOURCESView more in app

xakepNews

Jun 8, 2026

Android-троян MagicAd обходит ограничения на показ рекламы - Хакер

Android malware/adware trojan distributed via Xiaomi GetApps and also seen in Samsung Galaxy Store. It evades Android protections, checks its environment, hides its icon, persists in the background, decrypts native libraries in memory, and displays ads over other apps without the usual SYSTEM_ALERT_WINDOW permission by abusing intents, Android Binder, and a media-player-based technique.

What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.

Start free trial

IOC matching

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping9

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.