04/08/25
Более 11 тысяч устройств уже оказались под его влиянием, и еженедельно этот показатель растёт ещё примерно на две тысячи. Основные цели — пользователи из Испании, Франции, Португалии, Марокко, Перу и Гонконга, причём акцент сделан именно на испаноязычных и франкоязычных жертвах, что указывает на смену прежней стратегии операторов, указывает Securitylab.
Уникальность PlayPraetor в том, что он не просто троян с возможностью удалённого доступа. Он способен внедряться в интерфейс Android через службы специальных возможностей (Accessibility Services), что позволяет ему в реальном времени управлять устройством, перехватывать действия пользователя и накладывать поддельные формы входа поверх почти двух сотен банковских и криптовалютных приложений. Это делает возможным захват учётных записей с минимальной вероятностью обнаружения.
Первое описание PlayPraetor появилось в марте 2025 года благодаря исследованию CTM360. Тогда стало известно, что кампания использует масштабную сеть поддельных страниц Google Play, ведущих на вредоносные APK-файлы. Эти страницы продвигаются через рекламу в Meta и массовые SMS-рассылки, формируя замкнутый цикл: жертва переходит по ссылке, загружает приложение, а затем становится частью ботнета.
Операция управляется через китайскую C2-инфраструктуру и включает пять различных вариаций вредоноса. Некоторые из них имитируют прогрессивные веб-приложения (PWA) или используют WebView для фишинга. Другие направлены на фальшивые товары, фейковые «инвайт-коды» или полную передачу управления устройством операторам, используя такие механизмы, как EagleSpy и SpyNote.
Особый интерес вызывает модификация Phantom. Она предназначена для совершения мошеннических операций прямо на устройстве пользователя (on-device fraud) и охватывает около 60% всей бот-сети, сосредотачивая внимание на португалоязычных регионах. Управление заражёнными устройствами осуществляется в реальном времени через двусторонний WebSocket-канал. Дополнительно применяется RTMP-соединение для видеостриминга экрана жертвы, что даёт злоумышленникам визуальный контроль.
После установки вредонос отправляет сигналы на сервер управления по HTTP/HTTPS и получает команды, которые позволяют не только управлять приложениями, но и следить за буфером обмена, фиксировать нажатия клавиш и внедрять ложные интерфейсы. Всё это указывает на активную доработку функциональности и расширение набора возможностей для кражи данных.
Компонент инфраструктуры управления позволяет операторам не только координировать заражённые устройства, но и создавать индивидуальные фальшивые страницы Google Play под разные языки, устройства и сценарии. Подобная гибкость свидетельствует о продуманной и устойчивой модели MaaS (malware-as-a-service), в рамках которой несколько аффилированных групп получают инструменты для целевых атак.
