Эксперты сообщили о масштабной вредоносной кампании с участием Android-трояна PlayPraetor, который с начала 2025 года заразил более 11 тыс. устройств по всему миру. По данным исследователей компании Cleafy, вредонос распространяется со скоростью около 2 тыс. новых случаев еженедельно. Главной мишенью злоумышленников стали испаноязычные и франкоязычные пользователи, что говорит о явной географической переориентации кампании.
Как отмечают специалисты, PlayPraetor активно задействует механизмы специальных возможностей Android (accessibility services), получая полный контроль над заражённым устройством. Его функциональность направлена на кражу учётных данных: троян накладывает поддельные формы входа поверх интерфейсов более 200 банковских и криптовалютных приложений. Перехваченные логины и пароли автоматически отправляются на сервер злоумышленников.
Впервые вредонос был подробно описан компанией CTM360 в марте 2025 года. Тогда стало известно, что он распространяется через фальшивые страницы Google Play. Ссылки на них жертвы получают через рекламные кампании в соцсетях Meta (признана экстремистской и запрещена в России) и через СМС-рассылки. Под видом популярных приложений пользователю предлагается загрузить APK-файл, содержащий вредоносный код.
PlayPraetor представляет собой не отдельный троян, а целую платформу с пятью модификациями:
- Phish — WebView-приложения для сбора данных через поддельные формы;
- PWAs — поддельные прогрессивные веб-приложения;
- Phantom — самый мощный вариант, использующий доступ к функциям специальных возможностей и способный выполнять финансовые операции прямо на устройстве;
- Veil — схема, основанная на фейковых товарах и приглашениях;
- EagleSpy / SpyNote — инструменты удалённого наблюдения и шпионажа.
Особую опасность представляет модификация Phantom, находящаяся под контролем двух крупных операторов, управляющих более 60% всей бот-сети, то есть около 4 500 устройств. Наибольшая активность этой версии зафиксирована в Португалии. Вредонос поддерживает видеотрансляцию экрана, управление через WebSocket и RTMP, а также регулярно обновляется — появляются новые функции и команды, направленные на усиление контроля над устройствами.
PlayPraetor — не единственный активный троян в этом сегменте. По данным исследователей, параллельно развивается и ToxicPanda, уже заразивший около 3 тыс. устройств, преимущественно в Португалии. Его распространение связано с поддельными обновлениями браузера Chrome и использованием трафик-редиректоров. Новая версия получила алгоритм генерации доменов (DGA) и возможность переключения между основными и резервными серверами управления.
Также эксперты компании Zimperium продолжают отслеживать троян DoubleTrouble, ранее замеченный в каналах Discord. Этот вредонос способен фиксировать экран, перехватывать нажатия клавиш, блокировать работу нужных приложений и управлять устройством по команде. Он распространяется через фальшивые сайты и предлагает загрузку вредоносных APK под видом игровых файлов или полезных утилит.
Оригинал публикации на сайте CISOCLUB: "Новый Android-троян PlayPraetor заражает тысячи устройств и активно используется для атак на банковские приложения".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.