Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Исследователи в области кибербезопасности сообщили о быстро развивающейся вредоносной кампании с участием нового Android-трояна под названием PlayPraetor. Вредонос уже заразил более 11 000 устройств.

По данным экспертов Cleafy, малварь распространяется со скоростью более 2 000 новых случаев в неделю. Основной упор злоумышленники делают на испаноязычных и франкоязычных пользователей, что говорит о смене фокуса кампании.

Что умеет PlayPraetor?

В отличие от других Android-троянов, PlayPraetor активно использует специальные возможности Android (accessibility services), чтобы получить полный контроль над устройством. Он способен накладывать поддельные окна входа поверх почти 200 банковских и криптовалютных приложений, чтобы красть логины и пароли.

Впервые вредонос был описан компанией CTM360 в марте 2025 года. Тогда выяснилось, что PlayPraetor распространяется через тысячи поддельных страниц Google Play, ссылки на которые жертвы получают через рекламу в Meta (признана экстремистской и запрещена в России) и СМС-сообщения.

Цель проста: убедить человека скачать заражённый APK-файл, маскирующийся под приложение из Google Play.

PlayPraetor — это не один вредонос, а целая платформа с пятью вариантами:

  • Phish — WebView-приложения для фишинга,
  • PWAs — поддельные прогрессивные веб-приложения,
  • Phantom — самый мощный вариант, использующий сервисы доступности и способный на фрод прямо на устройстве,
  • Veil — схема с фальшивыми товарами и приглашениями,
  • EagleSpy / SpyNote — удалённый контроль и шпионские функции.

Особенно опасен вариант Phantom — он используется двумя крупными операторами, которые управляют 60% всей бот-сети (около 4 500 заражённых устройств). Основные жертвы — пользователи из Португалии.

PlayPraetor поддерживает видеостриминг с экрана устройства, связь с C2 через WebSocket и RTMP, а также быстро развивается — появляются всё новые команды и функции.

Не единственный в игре

PlayPraetor — не единственный вредонос, появившийся за последнее время. В поле зрения специалистов также попал ToxicPanda, который уже заразил около 3 000 устройств, в основном в Португалии. Его распространяют через поддельные обновления Chrome и трафик-редиректоры типа TAG-1241.

Новая версия ToxicPanda получила улучшенную устойчивость к блокировкам за счёт DGA (алгоритма генерации доменов), а также возможность переключаться на запасной C2-сервер и более эффективно накладывать вредоносные интерфейсы.

DoubleTrouble: ещё один претендент

Компания Zimperium рассказала о другом продвинутом трояне — DoubleTrouble. Он умеет не только подсовывать поддельные окна, но и записывать экран, фиксировать нажатия клавиш, блокировать запуск нужных приложений и выполнять команды на заражённом устройстве.

Вредонос распространяется через фейковые сайты и каналы в Discord, где пользователи скачивают заражённые APK напрямую.

Что это значит для пользователей?

Все эти вредоносы активно используют возможности Android, предназначенные для людей с ограниченными возможностями, чтобы получить максимальный контроль над устройством. Основная цель — финансовый фрод, кража данных и управление устройством в реальном времени.

Если вы получили ссылку на «обновление» приложения или «специальную акцию» — дважды подумайте, прежде чем нажимать. Под видом банального APK-файла может скрываться полноценный инструмент взлома.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru