Pesquisadores de cibersegurança descobriram um trojan de acesso remoto para Android, em estágio inicial, chamado PlayPraetor, que infectou mais de 11.000 dispositivos, principalmente em Portugal, Espanha, França, Marrocos, Peru e Hong Kong.
"O rápido crescimento da botnet, que agora excede 2.000 novas infecções por semana, é impulsionado por campanhas agressivas focadas em falantes de espanhol e francês, indicando uma mudança estratégica de sua base de vítimas anteriormente comum", disseram os pesquisadores da Cleafy, Simone Mattia, Alessandro Strino e Federico Valentini, em uma análise do malware.
PlayPraetor, gerenciado por um painel de comando-e-controle (C2) chinês, desvia significativamente de outros trojans para Android por abusar dos serviços de acessibilidade para ganhar controle remoto e pode servir telas de login falsas sobrepostas a quase 200 aplicativos bancários e carteiras de criptomoedas numa tentativa de sequestrar contas de vítimas.
PlayPraetor foi documentado pela primeira vez pela CTM360 em março de 2025, detalhando o uso da operação de milhares de páginas de download fraudulentas na Google Play Store para perpetrar uma campanha de fraude em larga escala interconectada capaz de colher credenciais bancárias, monitorar a atividade da área de transferência e registrar pressionamentos de tecla.
"Os links para as páginas da Play Store personificadas são distribuídos através de Meta Ads e mensagens SMS para atingir eficazmente um amplo público", observou a empresa sediada no Bahrein na época.
"Esses anúncios e mensagens enganosas induzem os usuários a clicar nos links, levando-os aos domínios fraudulentos que hospedam os APKs maliciosos."
Avaliado como uma operação coordenada globalmente, PlayPraetor vem em cinco variantes diferentes que instalam Progressive Web Apps (PWAs) enganosos, aplicativos baseados em WebView (Phish), exploram serviços de acessibilidade para persistent e C2 (Phantom), facilitam phishing baseado em código de convite e enganam usuários a comprar produtos falsificados (Veil), e concedem controle remoto total via EagleSpy e SpyNote (RAT).
A variante Phantom do PlayPraetor, segundo a empresa italiana de prevenção a fraudes, é capaz de fraude on-device (ODF) e é dominada por dois operadores afiliados principais que controlam cerca de 60% da botnet (aproximadamente 4.500 dispositivos comprometidos) e parecem concentrar seus esforços em alvos lusófonos.
"Sua funcionalidade principal depende do abuso dos serviços de acessibilidade do Android para obter controle extensivo e em tempo real sobre um dispositivo comprometido", disse a Cleafy.
"Isso permite que um operador execute ações fraudulentas diretamente no dispositivo da vítima." Uma vez instalado, o malware se comunica com o servidor C2 via HTTP/HTTPS e usa uma conexão WebSocket para criar um canal bidirecional para emitir comandos.
Também estabelece uma conexão Real-Time Messaging Protocol (RTMP) para iniciar uma transmissão ao vivo de vídeo da tela do dispositivo infectado.
A natureza evolutiva dos comandos suportados indica que PlayPraetor está sendo ativamente desenvolvido por seus operadores, permitindo roubo de dados abrangente.
Nas últimas semanas, ataques distribuindo o malware têm cada vez mais visado vítimas que falam espanhol e árabe, sinalizando uma expansão mais ampla da oferta de malware-as-a-service (MaaS).
O painel C2, por sua parte, não é usado apenas para interagir ativamente com dispositivos comprometidos em tempo real, mas também habilitar a criação de páginas de entrega de malware personalizadas que imitam a Google Play Store em dispositivos de mesa e móveis.
"O sucesso da campanha é construído sobre uma metodologia operacional bem estabelecida, aproveitando um modelo MaaS multi-afiliado", disse a Cleafy.
"Essa estrutura permite campanhas amplas e altamente direcionadas." PlayPraetor é o malware mais recente originário de atores de ameaças sinófonas com o objetivo de conduzir fraudes financeiras, uma tendência exemplificada pela emergência de ToxicPanda e SuperCard X no último ano.
ToxicPanda Evolui De acordo com dados da Bitsight, o ToxicPanda comprometeu cerca de 3.000 dispositivos Android em Portugal, seguido por Espanha, Grécia, Marrocos e Peru.
Campanhas distribuindo o malware aproveitaram o TAG-1241, um sistema de distribuição de tráfego (TDS), para distribuição de malware usando ClickFix e iscas de atualização falsa do Google Chrome.
"Essa redireção cuidadosamente orquestrada faz parte do design do TDS para garantir que apenas alvos selecionados sejam canalizados para esses pontos finais maliciosos", disse o pesquisador de segurança Pedro Falé em um relatório na semana passada.
A versão mais recente do ToxicPanda melhora seus predecessores incorporando um Domain Generation Algorithm (DGA) para estabelecer C2 e aumentar a resiliência operacional diante de derrubadas de infraestrutura.
Também incorporados ao malware estão novos comandos para definir um domínio C2 de fallback e controlar melhor os overlays maliciosos.
DoubleTrouble Ascende As descobertas vêm enquanto a Zimperium divulgou outro sofisticado trojan bancário para Android chamado DoubleTrouble que evoluiu além dos ataques de overlay para gravar a tela do dispositivo, registrar pressionamentos de tecla e executar vários comandos para exfiltração de dados e controle entranhado do dispositivo.
Além de se apoiar fortemente no abuso dos serviços de acessibilidade do Android para realizar suas atividades fraudulentas, a estratégia de distribuição do DoubleTrouble envolve o aproveitamento de sites falsos que hospedam amostras de malware diretamente dentro de canais do Discord.
"As novas funcionalidades incluem: exibir sobreposições de UI maliciosas para roubar códigos PIN ou padrões de desbloqueio, capacidades abrangentes de gravação de tela, a habilidade de bloquear a abertura de aplicativos específicos e funcionalidade avançada de keylogging", disse o pesquisador da Zimperium zLabs, Vishnu Madhav.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...