Експерти з кібербезпеки компанії Cleafy виявили масштабну кампанію розповсюдження нового Android-трояна PlayPraetor, який за короткий період часу інфікував понад 11 000 мобільних пристроїв. Згідно з останніми дослідженнями, щотижня фіксується більше 2000 нових випадків зараження цим небезпечним банківським шкідливим програмним забезпеченням.
Глобальна експансія та зміна цільової аудиторії
На сьогоднішній день активність PlayPraetor зосереджена в шести країнах: Португалії, Іспанії, Франції, Марокко, Перу та Гонконзі. Аналітики відзначають особливо тривожну тенденцію – активне розширення географічного охоплення атак та переорієнтацію на нові мовні групи.
Останні тижні характеризуються інтенсифікацією атак проти іспаномовної та франкомовної аудиторії. Водночас спостерігається зростання активності щодо арабомовних користувачів, що свідчить про еволюцію операційної стратегії кіберзлочинців.
Модель MaaS та технічна інфраструктура
Дослідники припускають, що PlayPraetor тепер працює за схемою Malware-as-a-Service (MaaS), що пояснює швидке поширення серед різних кримінальних груп. Ця бізнес-модель дозволяє злочинним організаціям орендувати готову шкідливу інфраструктуру для проведення власних атак.
Технічний аналіз показує, що троян встановлює з’єднання з командним сервером, розташованим у Китаї. За функціональними характеристиками PlayPraetor демонструє типові властивості сучасних банківських троянів для Android-платформи.
Ключові можливості шкідливого ПЗ
PlayPraetor експлуатує служби доступності Android (Accessibility services) для отримання повного віддаленого контролю над інфікованим пристроєм. Основною особливістю трояна є здатність створювати фішингові накладки, які відображаються поверх інтерфейсів майже 200 банківських додатків та криптогаманців.
Ця технологія дозволяє кіберзлочинцям перехоплювати облікові дані користувачів під час їх введення, створюючи ілюзію роботи з автентичними банківськими інтерфейсами.
Методи розповсюдження та історія виявлення
Перше задокументоване виявлення PlayPraetor відбулося у березні 2025 року дослідниками компанії CTM360. Фахівці виявили складну схему розповсюдження, засновану на створенні тисяч підроблених сторінок, що імітують офіційний Google Play Store.
Механізм зараження базується на комбінованому використанні реклами в соціальних мережах та SMS-розсилок. Зловмисники створюють привабливі оголошення та повідомлення з посиланнями на фальшиві магазини додатків. Після переходу за такими посиланнями користувачі потрапляють на сайти з шкідливими APK-файлами, які автоматично завантажуються на пристрої.
Варіант Phantom та технологія On-Device Fraud
Серед п’яти виявлених варіантів PlayPraetor особливу увагу привертає модифікація Phantom, що спеціалізується на технології шахрайства безпосередньо на пристрої жертви (On-Device Fraud, ODF). Управління цим варіантом здійснюють два ключові афілійовані угруповання, які контролюють приблизно 60% усього ботнету.
Під контролем цих груп знаходиться близько 4500 інфікованих пристроїв, при цьому їхня активність переважно зосереджена в португаломовних країнах. Технологія ODF дозволяє проводити шахрайські операції безпосередньо з скомпрометованого пристрою, мінімізуючи ризики виявлення системами банківської безпеки.
Протоколи зв’язку та моніторинг
Після успішної установки PlayPraetor ініціює багаторівневу систему зв’язку з командними серверами. Початкове з’єднання встановлюється через HTTP/HTTPS протоколи, після чого активується WebSocket-з’єднання для забезпечення двостороннього обміну командами в реальному часі.
Особливу загрозу становить використання RTMP-сесій (Real-Time Messaging Protocol), які забезпечують кіберзлочинцям можливість перегляду прямих трансляцій усіх дій на екранах інфікованих пристроїв. Ця функціональність дозволяє операторам у реальному часі відстежувати банківські операції жертв.
Зростаюча популярність PlayPraetor серед кіберзлочинців пояснюється відлагодженою операційною структурою та ефективною моделлю malware-as-a-service. Постійне розширення списку підтримуваних команд свідчить про активну розробку цього шкідливого інструментарію. Користувачам Android-пристроїв критично важливо дотримуватися базових заходів безпеки: встановлювати додатки виключно з офіційного Google Play Store, регулярно оновлювати операційну систему та використовувати надійні антивірусні рішення для мобільних платформ.
