A CTM360 identificou agora um alcance muito maior da campanha Play Praetor em andamento.
O que começou com mais de 6000 URLs de um ataque bancário muito específico, agora cresceu para mais de 16.000, com várias variantes.
Esta pesquisa está em andamento, e espera-se descobrir muito mais nos próximos dias.
Como antes, todas as novas imitações descobertas estão se passando por listagens de apps legítimos, enganando usuários para instalar aplicações Android maliciosas ou expor informações pessoais sensíveis.
Embora esses incidentes inicialmente parecessem isolados, investigações adicionais revelaram uma campanha coordenada globalmente que representa uma ameaça significativa à integridade do ecossistema da Play Store.
Evolução da Ameaça:
Este relatório amplia a pesquisa anterior sobre o PlayPraetor, destacando a descoberta de cinco novas variantes identificadas.
Essas variantes revelam a crescente sofisticação da campanha em termos de técnicas de ataque, canais de distribuição e táticas de engenharia social.
A evolução contínua do PlayPraetor demonstra sua adaptabilidade e foco persistente no ecossistema Android.
Além do Trojan Bancário PlayPraetor original, cinco novas variantes—Phish, RAT, PWA, Phantom e Veil—foram identificadas.
Essas variantes são distribuídas através de sites falsos que se assemelham muito ao Google Play Store.
Embora compartilhem comportamentos maliciosos comuns, cada variante exibe características únicas adaptadas para regiões específicas e casos de uso.
As regiões visadas incluem as Filipinas, Índia, África do Sul e vários mercados globais.
Essas variantes empregam uma mistura de phishing de credenciais, capacidades de acesso remoto, instalações enganosas de web apps, abuso dos serviços de acessibilidade do Android e técnicas furtivas que escondem atividades maliciosas por detrás de marcação legítima.
Embora cada variante tenha características e alvos regionais únicos, um tema comum em todas as amostras do PlayPraetor é o foco no setor financeiro.
Os atores de ameaça por trás dessas variantes buscam roubar credenciais bancárias, detalhes de cartões de crédito/débito, acesso a carteiras digitais e, em alguns casos, executar transações fraudulentas transferindo fundos para contas de mulas.
Essas estratégias de monetização indicam uma operação bem organizada focada no ganho financeiro.
As cinco novas variantes—Phish, RAT, PWA, Phantom e Veil—estão atualmente sob investigação ativa.
Algumas variantes têm estatísticas de detecção confirmadas, enquanto outras ainda estão sendo analisadas.
Uma tabela comparativa resumindo essas variantes, suas capacidades e alvos regionais é incluída na seção seguinte, junto com análise técnica detalhada.
A análise da CTM360 indica que, embora as variantes do PlayPraetor estejam sendo distribuídas globalmente, certas cepas exibem estratégias de alcance mais amplas do que outras.
Notavelmente, a variante Phantom-WW se destaca por sua abordagem de alvo global.
Neste caso, os agentes de ameaças se passam por uma aplicação amplamente reconhecida com apelo global, permitindo que lancem uma rede mais ampla e aumentem a probabilidade de envolvimento da vítima em várias regiões.
Entre as variantes identificadas, a variante PWA emergiu como a mais prevalente, com detecção em uma ampla gama de regiões geográficas.
Seu alcance estende-se pela América do Sul, Europa, Oceania, Ásia Central, Sul da Ásia e partes do continente africano, sublinhando seu papel como a variante mais difundida dentro da campanha PlayPraetor.
Outras variantes mostraram um alvo regional mais específico.
A variante Phish também foi distribuída por várias regiões, embora com menos saturação do que PWA.
Em contraste, a variante RAT exibiu uma concentração notável de atividade na África do Sul, sugerindo um foco específico na região.
Da mesma forma, a variante Veil foi observada principalmente nos Estados Unidos e em nações africanas selecionadas, refletindo uma estratégia de implantação mais direcionada.
Como se manter seguro:
Para mitigar o risco de cair vítima do PlayPraetor e golpes semelhantes:
✅ Faça o download de apps apenas da Google Play Store oficial ou da Apple App Store
✅ Verifique os desenvolvedores de apps e leia as avaliações antes de instalar qualquer aplicativo
✅ Evite conceder permissões desnecessárias, especialmente Serviços de Acessibilidade
✅ Use soluções de segurança móvel para detectar e bloquear APKs infectados por malware
✅ Mantenha-se atualizado sobre ameaças emergentes, seguindo relatórios de cibersegurança
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...