Cybersecurity-Forscher von Cleafy haben eine besorgniserregende Entwicklung im Bereich der mobilen Bedrohungen dokumentiert: Der Android-Trojaner PlayPraetor hat bereits mehr als 11.000 mobile Endgeräte infiziert. Die wöchentlichen Infektionsraten zeigen eine alarmierende Tendenz mit über 2.000 neuen Kompromittierungen pro Woche, was auf eine hocheffiziente Verbreitungsstrategie der Cyberkriminellen hindeutet.
Geografische Ausbreitung und Zielgruppenwechsel
Die aktuelle Bedrohungslandschaft zeigt, dass PlayPraetor gezielt Nutzer in sechs Ländern angreift: Portugal, Spanien, Frankreich, Marokko, Peru und Hongkong. Besonders auffällig ist die strategische Neuausrichtung der Angreifer auf spanisch- und französischsprachige Nutzergruppen, während gleichzeitig eine Intensivierung der Aktivitäten gegen arabischsprachige Zielgruppen beobachtet wird.
Diese geografische Diversifizierung deutet auf eine professionelle Organisationsstruktur hin, die systematisch neue Märkte erschließt und dabei kulturelle sowie sprachliche Barrieren überwindet.
Malware-as-a-Service-Modell ermöglicht schnelle Verbreitung
Sicherheitsexperten vermuten, dass PlayPraetor nach dem MaaS-Prinzip (Malware-as-a-Service) operiert. Dieses Geschäftsmodell erklärt die rapide Ausbreitung über verschiedene Sprachräume hinweg, da kriminelle Organisationen die Malware-Infrastruktur mieten und für eigene Angriffskampagnen nutzen können.
Die technische Analyse offenbart, dass der Trojaner eine Verbindung zu Command-and-Control-Servern in China aufbaut und dabei charakteristische Merkmale moderner Android-Banking-Malware aufweist.
Technische Funktionalitäten und Angriffsvektoren
PlayPraetor missbraucht die Accessibility Services des Android-Betriebssystems, um umfassende Fernsteuerung über infizierte Geräte zu erlangen. Die Kernfunktionalität besteht in der Erstellung von Phishing-Overlays, die über die Benutzeroberflächen von nahezu 200 Banking-Apps und Kryptowährungs-Wallets gelegt werden.
Diese Overlay-Technik ermöglicht es Angreifern, Anmeldedaten in Echtzeit abzufangen, während Opfer in dem Glauben gelassen werden, mit legitimen Bankenschnittstellen zu interagieren.
Verbreitungsmechanismen und Infektionswege
Die erste Dokumentation von PlayPraetor erfolgte im März 2025 durch CTM360-Forscher. Die Verbreitungsstrategie basiert auf einem raffinierten System aus tausenden gefälschten Webseiten, die den offiziellen Google Play Store imitieren.
Der Infektionsvektor kombiniert Social Media-Werbung mit SMS-Kampagnen. Angreifer erstellen verlockende Anzeigen und Nachrichten mit Links zu betrügerischen App-Stores, wo Nutzer unwissentlich schädliche APK-Dateien herunterladen.
Phantom-Variante und On-Device-Fraud-Technologie
Unter den fünf identifizierten PlayPraetor-Varianten sticht die Phantom-Version hervor, die auf On-Device-Fraud (ODF) spezialisiert ist. Zwei Hauptakteure kontrollieren etwa 60% des gesamten Botnetzes und verwalten rund 4.500 kompromittierte Geräte, wobei der Fokus auf portugiesischsprachigen Regionen liegt.
Die ODF-Technologie ermöglicht die Durchführung betrügerischer Transaktionen direkt vom infizierten Gerät aus, wodurch die Erkennungswahrscheinlichkeit durch Banksicherheitssysteme minimiert wird.
Kommunikationsprotokolle und Echtzeitüberwachung
Nach erfolgreicher Installation etabliert PlayPraetor ein mehrstufiges Kommunikationssystem mit den Kommandoservern. Die initiale Verbindung erfolgt über HTTP/HTTPS-Protokolle, gefolgt von WebSocket-Verbindungen für bidirektionale Echtzeitkommunikation.
Besonders bedrohlich ist der Einsatz von RTMP-Sessions (Real-Time Messaging Protocol), die Angreifern Live-Streaming der Bildschirmaktivitäten ermöglichen. Diese Funktionalität erlaubt die Echtzeitüberwachung von Banktransaktionen der Opfer.
Die zunehmende Popularität von PlayPraetor in kriminellen Kreisen resultiert aus der ausgereiften operativen Struktur und dem effizienten MaaS-Modell. Die kontinuierliche Erweiterung des Befehlssatzes belegt die aktive Weiterentwicklung dieser Malware-Familie. Android-Nutzer sollten ausschließlich Anwendungen aus dem offiziellen Google Play Store installieren, regelmäßige Systemupdates durchführen und vertrauenswürdige Mobile-Security-Lösungen implementieren, um sich vor derartigen Bedrohungen zu schützen.
