Исследователи компании Cleafy зафиксировали стремительное распространение нового Android-трояна PlayPraetor, который уже скомпрометировал более 11 000 мобильных устройств. Статистика показывает устойчивый рост числа жертв: еженедельно регистрируется свыше 2000 новых случаев заражения этим опасным вредоносным программным обеспечением.
География атак и смена целевой аудитории
На текущий момент PlayPraetor активно атакует пользователей в шести странах: Португалии, Испании, Франции, Марокко, Перу и Гонконге. Особую тревогу у специалистов по кибербезопасности вызывает наблюдаемая тенденция к расширению географии атак и смене приоритетных целей.
Аналитики отмечают значительную активизацию кампаний, направленных против испаноязычной и франкоязычной аудитории. В последние недели зафиксирован рост числа атак на испаноязычных и арабоязычных пользователей, что указывает на эволюцию операционной модели киберпреступников.
Модель Malware-as-a-Service и техническая архитектура
Экспертное сообщество предполагает, что PlayPraetor теперь функционирует по схеме MaaS (Malware-as-a-Service), что объясняет его быстрое распространение среди различных языковых групп. Данная модель позволяет криминальным группировкам арендовать готовую вредоносную инфраструктуру для проведения собственных атак.
Технический анализ показывает, что троян устанавливает связь с управляющим сервером, расположенным в Китае. По своей функциональности PlayPraetor демонстрирует типичные характеристики современных банковских троянов для Android-платформы.
Основные возможности вредоноса
PlayPraetor использует злоупотребление Accessibility services операционной системы Android для получения полного удаленного контроля над зараженным устройством. Ключевой особенностью трояна является способность создавать фишинговые оверлеи, которые накладываются поверх интерфейсов почти 200 банковских приложений и криптокошельков.
Эта технология позволяет киберпреступникам перехватывать учетные данные пользователей в момент их ввода, создавая у жертв иллюзию работы с подлинными банковскими интерфейсами.
История обнаружения и методы распространения
Первое документированное обнаружение PlayPraetor произошло в марте 2025 года силами исследователей компании CTM360. Уже тогда специалисты выявили изощренную схему распространения, основанную на создании тысяч поддельных страниц, имитирующих официальный Google Play Store.
Механизм заражения строится на комбинированном использовании рекламы в социальных сетях и SMS-рассылок. Злоумышленники создают привлекательные объявления и сообщения, содержащие ссылки на фальшивые магазины приложений. После перехода по таким ссылкам пользователи попадают на сайты с вредоносными APK-файлами, которые автоматически загружаются на устройства.
Вариант Phantom и технология On-Device Fraud
Среди пяти выявленных вариантов PlayPraetor особое внимание привлекает модификация Phantom, специализирующаяся на технологии мошенничества прямо на устройстве жертвы (On-Device Fraud, ODF). Управление этим вариантом осуществляют две ключевые аффилированные группы, контролирующие приблизительно 60% всего ботнета.
Под контролем этих группировок находится около 4500 зараженных устройств, при этом их активность преимущественно сосредоточена в португалоязычных странах. Технология ODF позволяет проводить мошеннические операции непосредственно с компрометированного устройства, минимизируя риски обнаружения со стороны систем банковской безопасности.
Протоколы связи и мониторинг
После успешной установки PlayPraetor инициирует многоуровневую систему связи с командными серверами. Первоначальное соединение устанавливается через HTTP/HTTPS протоколы, после чего активируется WebSocket-соединение для обеспечения двусторонней передачи команд в режиме реального времени.
Особую угрозу представляет использование RTMP-сессий (Real-Time Messaging Protocol), которые обеспечивают киберпреступникам возможность просмотра прямых трансляций всех действий, происходящих на экранах зараженных устройств. Эта функциональность позволяет операторам в реальном времени отслеживать банковские операции жертв.
Растущая популярность PlayPraetor среди киберпреступников объясняется отлаженной операционной структурой и эффективной моделью malware-as-a-service. Постоянное пополнение списка поддерживаемых команд свидетельствует об активной разработке и совершенствовании данного вредоносного инструментария. Пользователям Android-устройств крайне важно соблюдать базовые меры предосторожности: устанавливать приложения исключительно из официального Google Play Store, регулярно обновлять операционную систему и использовать надежные антивирусные решения для мобильных платформ.
