Groźny program atakuje telefony. Jedno szokuje szczególnie
Eksperci ds. cyberbezpieczeństwa odkryli zaawansowanego trojana zdalnego dostępu (RAT) dla Androida, znanego jako PlayPraetor. Zainfekował już ponad 11 tysięcy urządzeń na świecie. Szkodliwe oprogramowanie najczęściej atakuje użytkowników w Portugalii, Hiszpanii, Francji, Maroku, Peru i Hongkongu. Eksperci zwracają uwagę na tempo narastających infekcji.
Według analityków z firmy Cleafy tempo nowych infekcji przekracza dwa tysiące tygodniowo, a cyberprzestępcy coraz częściej kierują swoje działania do osób posługujących się językiem hiszpańskim i francuskim. To oznacza wyraźny zwrot w strategii twórców PlayPraetora, którzy początkowo koncentrowali się na innych grupach ofiar.
PlayPraetor różni się od dotychczas znanych trojanów m.in. tym, że wykorzystuje usługi ułatwień dostępu do pełnego przejęcia kontroli nad urządzeniem. Dzięki temu jest w stanie nakładać fałszywe ekrany logowania na prawie dwieście aplikacji bankowych i kryptowalutowych, by przechwytywać poufne dane użytkowników. PlayPraetor został po raz pierwszy opisany przez ekspertów z CTM360 w marcu 2025 roku. Wtedy badacze zwrócili uwagę na szeroko zakrojoną kampanię, w której wykorzystywano tysiące spreparowanych stron udających oficjalny sklep Google Play. Celem była kradzież danych do bankowości internetowej, monitorowanie schowka i rejestrowanie naciśnięć klawiszy.
– Szybki rozwój botnetu, który teraz przekracza 2000 nowych infekcji tygodniowo, jest napędzany agresywnymi kampaniami skierowanymi do użytkowników języka hiszpańskiego i francuskiego, co wskazuje na strategiczne odejście od jego wcześniejszej typowej grupy celów – podsumowali specjaliści z Cleafy w swojej analizie. Podkreślili także, że linki do łudząco podobnych stron Google Play Store rozprzestrzeniano zarówno poprzez reklamy publikowane w systemie Meta Ads, jak i za pośrednictwem masowych wiadomości SMS. Takie reklamy oraz wiadomości skutecznie wprowadzały w błąd, nakłaniając potencjalne ofiary do wejścia na spreparowane witryny, gdzie czekały zainfekowane pliki APK.
Fałszywe Sklepy Play i Meta Ads rozsiewają wirusa
Zainstalowany malware łączy się z serwerem dowodzenia i kontroli (C2), używając protokołów HTTP/HTTPS, a następnie otwiera kanał komunikacji WebSocket, dzięki czemu atakujący mogą wydawać polecenia w czasie rzeczywistym. Dodatkowo, PlayPraetor wykorzystuje połączenie Real-Time Messaging Protocol (RTMP), które umożliwia transmisję na żywo ekranu urządzenia ofiary. Liczba oraz bogactwo obsługiwanych komend wskazują, że twórcy trojana aktywnie go rozwijają, stale zwiększając jego potencjał w zakresie kradzieży danych. W ostatnim czasie zauważono, że kampanie dystrybucji PlayPraetora obejmują użytkowników mówiących po arabsku oraz po hiszpańsku, co sugeruje dalszą ekspansję tego narzędzia w formie malware-as-a-service.
Panel zarządzania C2 nie tylko pozwala operatorom na aktywną interakcję z przejętymi urządzeniami na bieżąco, ale umożliwia również tworzenie specjalnie przygotowanych stron instalacyjnych, które do złudzenia przypominają oficjalny Google Play. Strony te wyświetlane są zarówno na komputerach, jak i na urządzeniach mobilnych, co zwiększa skuteczność ataków.
Nowy trend chińskich grup cyberprzestępczych
Obserwatorzy zwracają uwagę, że PlayPraetor to jeden z najnowszych przykładów szkodliwego oprogramowania, które pochodzi od chińskojęzycznych grup przestępczych koncentrujących się na oszustwach finansowych. W ostatnich miesiącach na rynku pojawiły się także inne narzędzia tego typu, jak ToxicPanda czy SuperCard X. Badacze z firmy Cleafy podkreślili, że skuteczność ostatnich kampanii PlayPraetora wynika przede wszystkim z solidnej organizacji działania i wdrożenia modelu współpracy MaaS (malware-as-a-service), w którym różni operatorzy – tzw. afilianci – wykorzystują konkretne warianty trojana do własnych celów. Jak stwierdzili: "Sukces kampanii jest zbudowany na ugruntowanej metodologii operacyjnej, wykorzystującej model MaaS wielu afiliantów". Taki model pozwala przeprowadzać zarówno szeroką, jak i bardzo precyzyjną akcję wymierzoną w wybrane grupy użytkowników.
