PlayPraetor Android RAT se expande rapidamente em regiões de língua espanhola e francesa
O PlayPraetor Android RAT atingiu 11 mil + dispositivos, espalhando-se rapidamente por meio de campanhas direcionadas a falantes de espanhol e francês, dizem os pesquisadores da Cleafy.
Os pesquisadores da Cleafy identificaram um novo Android RAT chamado PlayPraetor, que infectou mais de 11.000 dispositivos, principalmente em Portugal, Espanha, França, Marrocos, Peru e Hong Kong. O malware está se espalhando rapidamente, com mais de 2.000 novas infecções semanais, visando falantes de espanhol e francês em uma notável mudança de estratégia.
O PlayPraetor Android RAT é gerenciado por meio de um painel C2 em chinês com uma configuração multilocatário, permitindo que vários afiliados executem campanhas. A maioria das vítimas está na Europa, com 58% das infecções em Portugal, Espanha e França, seguidas por Marrocos, Peru e Hong Kong. Duas operadoras principais dominam 60% da botnet, com foco em falantes de português, enquanto afiliadas menores têm como alvo usuários chineses, espanhóis e franceses. O RAT abusa dos Serviços de Acessibilidade do Android para controle em tempo real e tem como alvo quase 200 aplicativos bancários e carteiras de criptomoedas.
“Ao abusar dos Serviços de Acessibilidade do Android, as operadoras obtêm controle em tempo real do dispositivo infectado.” lê o relatório publicado pela Cleafy. “Uma investigação das cargas úteis de ataque de sobreposição revelou uma extensa lista de alvos globais, incluindo quase 200 aplicativos bancários e carteiras de criptomoedas.”
Os especialistas encontraram novos comandos, uma circunstância que sugere que está em desenvolvimento ativo.
O malware usa uma configuração C2 multiprotocolo resiliente: verificações de pulsação via HTTP/S, comandos em tempo real via WebSocket (porta 8282) e streaming de tela via RTMP (porta 1935).
O PlayPraetor foi classificado erroneamente como SpyNote nos bancos de dados de ameaças devido a sobreposições na infraestrutura com outras famílias de malware usadas em campanhas simultâneas.
O PlayPraetor é uma campanha global de malware para Android que começou como uma ameaça localizada que se passava por aplicativos bancários e se expandiu usando mais de 16.000 URLs falsos da Google Play Store. Os invasores induzem os usuários a baixar aplicativos maliciosos ou revelar dados confidenciais. A campanha inclui cinco variantes, Phish, RAT, PWA, Phantom (também conhecido como Jogar Praetor) e Véu. Cada variante tinha um método de ataque único. Cleafy começou a analisar a variante Phantom em abril de 2025, confirmando páginas falsas da Play Store como o principal método de distribuição.
“Embora tecnicamente o PlayPraetor não se desvie de outros trojans bancários Android modernos, implementando técnicas bem estabelecidas para fraude no dispositivo por meio do abuso dos serviços de acessibilidade do Android, sua inovação está em seu modelo operacional.” continua o relatório.
Em maio, a atividade aumentou no sul da Europa e na América Latina, marcando a evolução do PlayPraetor para uma grande ameaça cibernética global.
A análise do painel PlayPraetor C2, que é em chinês, revelou que é um hub de controle multilocatário para gerenciar dispositivos infectados e executar campanhas de phishing.
Ele permite que as afiliadas operem de forma independente enquanto usam a infraestrutura compartilhada. Os principais recursos incluem controle de dispositivos em tempo real, inicialização de aplicativos, exfiltração de dados e ferramentas de representação. O painel também permite que os operadores criem páginas falsas semelhantes ao Google Play para entregar malware.
Seu design modular e personalizável permite a implantação rápida de páginas de phishing usando domínios pré-registrados, indicando uma operação de ameaça profissional e bem organizada.
“O PlayPraetor representa outra entrada significativa de agentes de ameaças de língua chinesa no cenário global de fraudes financeiras. Essa tendência, exemplificada por campanhas recentes comoPanda TóxicoeSupercard X, demonstra um interesse crescente dos ATs nesta região no desenvolvimento e implantação de vetores de ataque sofisticados contra instituições financeiras em todo o mundo”, conclui o relatório. “Embora tecnicamente o PlayPraetor não se desvie de outros trojans bancários Android modernos, implementando técnicas bem estabelecidas para fraude no dispositivo por meio do abuso dos serviços de acessibilidade do Android, sua inovação está em seu modelo operacional.”
Siga-me no Twitter:@securityaffairseLinkedineMastodonte
(Assuntos de Segurança–hacking,Android)