Исследователи в области кибербезопасности сообщили о быстро развивающейся вредоносной кампании с участием нового Android-трояна под названием PlayPraetor. Вредонос уже заразил более 11 000 устройств.
По данным экспертов Cleafy, малварь распространяется со скоростью более 2 000 новых случаев в неделю. Основной упор злоумышленники делают на испаноязычных и франкоязычных пользователей, что говорит о смене фокуса кампании.
Что умеет PlayPraetor?
В отличие от других Android-троянов, PlayPraetor активно использует специальные возможности Android (accessibility services), чтобы получить полный контроль над устройством. Он способен накладывать поддельные окна входа поверх почти 200 банковских и криптовалютных приложений, чтобы красть логины и пароли.
Впервые вредонос был описан компанией CTM360 в марте 2025 года. Тогда выяснилось, что PlayPraetor распространяется через тысячи поддельных страниц Google Play, ссылки на которые жертвы получают через рекламу в Meta (признана экстремистской и запрещена в России) и СМС-сообщения.
Цель проста: убедить человека скачать заражённый APK-файл, маскирующийся под приложение из Google Play.
PlayPraetor — это не один вредонос, а целая платформа с пятью вариантами:
- Phish — WebView-приложения для фишинга,
- PWAs — поддельные прогрессивные веб-приложения,
- Phantom — самый мощный вариант, использующий сервисы доступности и способный на фрод прямо на устройстве,
- Veil — схема с фальшивыми товарами и приглашениями,
- EagleSpy / SpyNote — удалённый контроль и шпионские функции.
Особенно опасен вариант Phantom — он используется двумя крупными операторами, которые управляют 60% всей бот-сети (около 4 500 заражённых устройств). Основные жертвы — пользователи из Португалии.
PlayPraetor поддерживает видеостриминг с экрана устройства, связь с C2 через WebSocket и RTMP, а также быстро развивается — появляются всё новые команды и функции.
Не единственный в игре
PlayPraetor — не единственный вредонос, появившийся за последнее время. В поле зрения специалистов также попал ToxicPanda, который уже заразил около 3 000 устройств, в основном в Португалии. Его распространяют через поддельные обновления Chrome и трафик-редиректоры типа TAG-1241.
Новая версия ToxicPanda получила улучшенную устойчивость к блокировкам за счёт DGA (алгоритма генерации доменов), а также возможность переключаться на запасной C2-сервер и более эффективно накладывать вредоносные интерфейсы.
DoubleTrouble: ещё один претендент
Компания Zimperium рассказала о другом продвинутом трояне — DoubleTrouble. Он умеет не только подсовывать поддельные окна, но и записывать экран, фиксировать нажатия клавиш, блокировать запуск нужных приложений и выполнять команды на заражённом устройстве.
Вредонос распространяется через фейковые сайты и каналы в Discord, где пользователи скачивают заражённые APK напрямую.
Что это значит для пользователей?
Все эти вредоносы активно используют возможности Android, предназначенные для людей с ограниченными возможностями, чтобы получить максимальный контроль над устройством. Основная цель — финансовый фрод, кража данных и управление устройством в реальном времени.
Если вы получили ссылку на «обновление» приложения или «специальную акцию» — дважды подумайте, прежде чем нажимать. Под видом банального APK-файла может скрываться полноценный инструмент взлома.
