Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Новый Android-троян PlayPraetor заражает тысячи устройств по всему миру

Исследователи в области кибербезопасности сообщили о быстро развивающейся вредоносной кампании с участием нового Android-трояна под названием PlayPraetor. Вредонос уже заразил более 11 000 устройств.

По данным экспертов Cleafy, малварь распространяется со скоростью более 2 000 новых случаев в неделю. Основной упор злоумышленники делают на испаноязычных и франкоязычных пользователей, что говорит о смене фокуса кампании.

Что умеет PlayPraetor?

В отличие от других Android-троянов, PlayPraetor активно использует специальные возможности Android (accessibility services), чтобы получить полный контроль над устройством. Он способен накладывать поддельные окна входа поверх почти 200 банковских и криптовалютных приложений, чтобы красть логины и пароли.

Впервые вредонос был описан компанией CTM360 в марте 2025 года. Тогда выяснилось, что PlayPraetor распространяется через тысячи поддельных страниц Google Play, ссылки на которые жертвы получают через рекламу в Meta (признана экстремистской и запрещена в России) и СМС-сообщения.

Цель проста: убедить человека скачать заражённый APK-файл, маскирующийся под приложение из Google Play.

PlayPraetor — это не один вредонос, а целая платформа с пятью вариантами:

  • Phish — WebView-приложения для фишинга,
  • PWAs — поддельные прогрессивные веб-приложения,
  • Phantom — самый мощный вариант, использующий сервисы доступности и способный на фрод прямо на устройстве,
  • Veil — схема с фальшивыми товарами и приглашениями,
  • EagleSpy / SpyNote — удалённый контроль и шпионские функции.

Особенно опасен вариант Phantom — он используется двумя крупными операторами, которые управляют 60% всей бот-сети (около 4 500 заражённых устройств). Основные жертвы — пользователи из Португалии.

PlayPraetor поддерживает видеостриминг с экрана устройства, связь с C2 через WebSocket и RTMP, а также быстро развивается — появляются всё новые команды и функции.

Не единственный в игре

PlayPraetor — не единственный вредонос, появившийся за последнее время. В поле зрения специалистов также попал ToxicPanda, который уже заразил около 3 000 устройств, в основном в Португалии. Его распространяют через поддельные обновления Chrome и трафик-редиректоры типа TAG-1241.

Новая версия ToxicPanda получила улучшенную устойчивость к блокировкам за счёт DGA (алгоритма генерации доменов), а также возможность переключаться на запасной C2-сервер и более эффективно накладывать вредоносные интерфейсы.

DoubleTrouble: ещё один претендент

Компания Zimperium рассказала о другом продвинутом трояне — DoubleTrouble. Он умеет не только подсовывать поддельные окна, но и записывать экран, фиксировать нажатия клавиш, блокировать запуск нужных приложений и выполнять команды на заражённом устройстве.

Вредонос распространяется через фейковые сайты и каналы в Discord, где пользователи скачивают заражённые APK напрямую.

Что это значит для пользователей?

Все эти вредоносы активно используют возможности Android, предназначенные для людей с ограниченными возможностями, чтобы получить максимальный контроль над устройством. Основная цель — финансовый фрод, кража данных и управление устройством в реальном времени.

Если вы получили ссылку на «обновление» приложения или «специальную акцию» — дважды подумайте, прежде чем нажимать. Под видом банального APK-файла может скрываться полноценный инструмент взлома.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление BI.ZONE PAM 2.3: двойной контроль изменений и фильтрация команд

В версии 2.3 системы управления привилегированным доступом BI.ZONE PAM появился новый механизм — так называемая «вторая рука». Теперь любые изменения в настройках, учетных записях и серверах можно проводить только после одобрения заявки другим сотрудником.

Это позволяет избежать односторонних действий, которые могут навредить инфраструктуре, и при этом ускоряет процесс подключения новых ресурсов — пользователи могут самостоятельно добавлять системы и учетные записи, а затем отправлять их на утверждение.

Также в новой версии появилась возможность фильтрации команд в SSH-сессиях. Администратор может задать список запрещенных команд — вручную или с помощью готового шаблона. Если пользователь, например, попытается перезагрузить почтовый сервер, система может отреагировать по-разному: запретить, предупредить или передать информацию в SIEM, в зависимости от роли.

«Концепция zero trust требует не только строгого контроля доступа, но и удобства для пользователей. Решения должны быстро развертываться, бесшовно интегрироваться в ИТ-ландшафт компании и не замедлять бизнес-процессы. Иначе внедрение остается формальностью, а не защитой.

В разработке BI.ZONE PAM упор делается на синергию безопасности и удобства. Мы продолжаем развивать продукт, чтобы охватить еще больше сценариев управления доступом, автоматизации процессов и контроля безопасности, а также адаптироваться к меняющимся требованиям и задачам бизнеса», — отметил Артем Назаретян, руководитель BI.ZONE PAM.

Также обновление включает более удобный интерфейс для работы с пользователями, инцидентами и группами, а настройки интеграции с LDAP и движки ротации секретов теперь можно управлять прямо из панели — раньше это требовало работы с API. Для новых инсталляций подготовлены готовые схемы с установочными скриптами.

По данным расследований BI.ZONE DFIR, во всех случаях атак с уничтожением инфраструктуры в 2025 году злоумышленники сначала получали доступ к привилегированным учеткам. Это подчеркивает важность решений класса PAM как одного из базовых элементов защиты корпоративных систем. Поскольку такие продукты влияют на работу сотен сотрудников, к их удобству и функциональности компании предъявляют всё более высокие требования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru