Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Исследователи в области кибербезопасности сообщили о быстро развивающейся вредоносной кампании с участием нового Android-трояна под названием PlayPraetor. Вредонос уже заразил более 11 000 устройств.

По данным экспертов Cleafy, малварь распространяется со скоростью более 2 000 новых случаев в неделю. Основной упор злоумышленники делают на испаноязычных и франкоязычных пользователей, что говорит о смене фокуса кампании.

Что умеет PlayPraetor?

В отличие от других Android-троянов, PlayPraetor активно использует специальные возможности Android (accessibility services), чтобы получить полный контроль над устройством. Он способен накладывать поддельные окна входа поверх почти 200 банковских и криптовалютных приложений, чтобы красть логины и пароли.

Впервые вредонос был описан компанией CTM360 в марте 2025 года. Тогда выяснилось, что PlayPraetor распространяется через тысячи поддельных страниц Google Play, ссылки на которые жертвы получают через рекламу в Meta (признана экстремистской и запрещена в России) и СМС-сообщения.

Цель проста: убедить человека скачать заражённый APK-файл, маскирующийся под приложение из Google Play.

PlayPraetor — это не один вредонос, а целая платформа с пятью вариантами:

• Phish — WebView-приложения для фишинга,
• PWAs — поддельные прогрессивные веб-приложения,
• Phantom — самый мощный вариант, использующий сервисы доступности и способный на фрод прямо на устройстве,
• Veil — схема с фальшивыми товарами и приглашениями,
• EagleSpy / SpyNote — удалённый контроль и шпионские функции.

Особенно опасен вариант Phantom — он используется двумя крупными операторами, которые управляют 60% всей бот-сети (около 4 500 заражённых устройств). Основные жертвы — пользователи из Португалии.

PlayPraetor поддерживает видеостриминг с экрана устройства, связь с C2 через WebSocket и RTMP, а также быстро развивается — появляются всё новые команды и функции.

Не единственный в игре

PlayPraetor — не единственный вредонос, появившийся за последнее время. В поле зрения специалистов также попал ToxicPanda, который уже заразил около 3 000 устройств, в основном в Португалии. Его распространяют через поддельные обновления Chrome и трафик-редиректоры типа TAG-1241.

Новая версия ToxicPanda получила улучшенную устойчивость к блокировкам за счёт DGA (алгоритма генерации доменов), а также возможность переключаться на запасной C2-сервер и более эффективно накладывать вредоносные интерфейсы.

DoubleTrouble: ещё один претендент

Компания Zimperium рассказала о другом продвинутом трояне — DoubleTrouble. Он умеет не только подсовывать поддельные окна, но и записывать экран, фиксировать нажатия клавиш, блокировать запуск нужных приложений и выполнять команды на заражённом устройстве.

Вредонос распространяется через фейковые сайты и каналы в Discord, где пользователи скачивают заражённые APK напрямую.

Что это значит для пользователей?

Все эти вредоносы активно используют возможности Android, предназначенные для людей с ограниченными возможностями, чтобы получить максимальный контроль над устройством. Основная цель — финансовый фрод, кража данных и управление устройством в реальном времени.

Если вы получили ссылку на «обновление» приложения или «специальную акцию» — дважды подумайте, прежде чем нажимать. Под видом банального APK-файла может скрываться полноценный инструмент взлома.