Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Специалисты компании Cleafy новый Android-троян PlayPraetor. По их данным, он уже заразил более 11 000 устройств, и каждую неделю фиксируется более 2000 новых заражений.
В настоящее время вредонос атакует пользователей в Португалии, Испании, Франции, Марокко, Перу и Гонконге, но исследователи пишут об активных кампаниях, нацеленных на испаноязычную и франкоязычную аудиторию. То есть сейчас операторы малвари пытаются сменить фокус с прежних категорий жертв.
Кроме того, в последние недели вредонос все чаще распространяется среди испаноязычных и арабоязычных пользователей, поэтому предполагается, что теперь PlayPraetor работает по схеме MaaS (Malware-as-a-service, «Малварь-как-сервис»).
Эксперты пишут, что PlayPraetor связывается с расположенным в Китае управляющим сервером и не слишком отличается от других Android-троянов: он злоупотребляет Accessibility services, чтобы получить удаленный контроль над устройством, а также способен накладывать фишинговые оверлеи поверх почти 200 банковских приложений и криптокошельков, чтобы похитить учетные данные.
Впервые PlayPraetor был обнаружен компанией в марте 2025 года. Тогда исследователи отмечали, что злоумышленники используют тысячи фальшивых страниц, замаскированных под Google Play Store, для распространения вредоноса. Эта схема позволяет операторам малвари похищать банковские учетные данные, отслеживать содержимое буфера обмена и перехватывать нажатия клавиш.
По данным Cleafy, вариант Phantom осуществляет мошенничество прямо на устройстве жертвы (on-device fraud, ODF). Им управляют две ключевые аффилированные группы хакеров, контролирующие примерно 60% ботнета (около 4500 зараженных устройств), и их активность сосредоточена в основном на португалоязычных странах.
Список поддерживаемых команд трояна постоянно пополняется, что указывает на активную разработку вредоноса.
В настоящее время вредонос атакует пользователей в Португалии, Испании, Франции, Марокко, Перу и Гонконге, но исследователи пишут об активных кампаниях, нацеленных на испаноязычную и франкоязычную аудиторию. То есть сейчас операторы малвари пытаются сменить фокус с прежних категорий жертв.
Кроме того, в последние недели вредонос все чаще распространяется среди испаноязычных и арабоязычных пользователей, поэтому предполагается, что теперь PlayPraetor работает по схеме MaaS (Malware-as-a-service, «Малварь-как-сервис»).
Эксперты пишут, что PlayPraetor связывается с расположенным в Китае управляющим сервером и не слишком отличается от других Android-троянов: он злоупотребляет Accessibility services, чтобы получить удаленный контроль над устройством, а также способен накладывать фишинговые оверлеи поверх почти 200 банковских приложений и криптокошельков, чтобы похитить учетные данные.
Впервые PlayPraetor был обнаружен компанией в марте 2025 года. Тогда исследователи отмечали, что злоумышленники используют тысячи фальшивых страниц, замаскированных под Google Play Store, для распространения вредоноса. Эта схема позволяет операторам малвари похищать банковские учетные данные, отслеживать содержимое буфера обмена и перехватывать нажатия клавиш.
Эксперты пишут, что PlayPraetor существует в пяти вариантах:
- PWA — устанавливает фальшивые Progressive Web Apps;
- Phish — основан на WebView-приложениях;
- Phantom — использует Accessibility services для постоянного контроля устройства и связи с управляющим сервером;
- Veil — поддерживает фишинг по инвайт-кодам и предлагает фейковые товары;
- EagleSpy/SpyNote — варианты RAT с полным удаленным доступом.
По данным Cleafy, вариант Phantom осуществляет мошенничество прямо на устройстве жертвы (on-device fraud, ODF). Им управляют две ключевые аффилированные группы хакеров, контролирующие примерно 60% ботнета (около 4500 зараженных устройств), и их активность сосредоточена в основном на португалоязычных странах.
После установки малварь связывается с управляющим сервером через HTTP/HTTPS и устанавливает WebSocket-соединение для двусторонней передачи команд. Также запускается RTMP-сессия (Real-Time Messaging Protocol), через которую злоумышленники могут просматривать прямую трансляцию всего происходящего на экране зараженного девайса.
Список поддерживаемых команд трояна постоянно пополняется, что указывает на активную разработку вредоноса.