Ciberseguridad 360 | Troyano PlayPraetor en Android

Investigadores en ciberseguridad han descubierto un troyano de acceso remoto (RAT) para Android llamado PlayPraetor que ha infectado m�s de 11 000 dispositivos, principalmente en Portugal, Espa�a, Francia, Marruecos, Per� y Hong Kong.

"El r�pido crecimiento de la red de bots, que ahora supera las 2000 nuevas infecciones por semana, se debe a agresivas campa�as dirigidas a hablantes de espa�ol y franc�s, lo que indica un cambio estrat�gico con respecto a su anterior base de v�ctimas habitual", afirmaron los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini en un an�lisis del malware.

PlayPraetor, gestionado por un panel de comando y control (C2) chino, no se desv�a significativamente de otros troyanos para Android, ya que abusa de los servicios de accesibilidad para obtener control remoto y puede mostrar pantallas de inicio de sesi�n superpuestas falsas sobre casi 200 aplicaciones bancarias y carteras de criptomonedas con el fin de secuestrar las cuentas de las v�ctimas.

PlayPraetor fue documentado por primera vez por CTM360 en marzo de 2025, detallando el uso de miles de p�ginas de descarga fraudulentas de Google Play Store para llevar a cabo una campa�a de estafa a gran escala interconectada que puede recopilar credenciales bancarias, supervisar la actividad del portapapeles y registrar las pulsaciones del teclado.

"Los enlaces a las p�ginas falsas de Play Store se distribuyen a trav�s de Meta Ads y mensajes SMS para llegar de forma eficaz a una amplia audiencia", se�al� en ese momento la empresa con sede en Bar�in. "Estos anuncios y mensajes enga�osos incitan a los usuarios a hacer clic en los enlaces, lo que los lleva a los dominios fraudulentos que alojan los APK maliciosos".

PlayPraetor, considerada una operaci�n coordinada a nivel mundial, se presenta en cinco variantes diferentes que instalan aplicaciones web progresivas (PWA) enga�osas, aplicaciones basadas en WebView (Phish), explotan los servicios de accesibilidad para obtener acceso persistente y C2 (Phantom), facilitan el phishing basado en c�digos de invitaci�n y enga�an a los usuarios para que compren productos falsificados (Veil), y otorgan control remoto total a trav�s de EagleSpy y SpyNote (RAT).

La variante Phantom de PlayPraetor, seg�n la empresa italiana de prevenci�n del fraude, es capaz de cometer fraudes en el dispositivo (ODF) y est� dominada por dos operadores afiliados principales que controlan alrededor del 60 % de la botnet (aproximadamente 4500 dispositivos comprometidos) y parecen centrar sus esfuerzos en objetivos de habla portuguesa.

"Su funcionalidad principal se basa en el abuso de los servicios de accesibilidad de Android para obtener un control amplio y en tiempo real sobre un dispositivo comprometido", afirma Cleafy. "Esto permite al operador realizar acciones fraudulentas directamente en el dispositivo de la v�ctima".

Una vez instalado, el malware se comunica con el servidor C2 a trav�s de HTTP/HTTPS y utiliza una conexi�n WebSocket para crear un canal bidireccional con el que enviar comandos. Tambi�n establece una conexi�n RTMP (Real-Time Messaging) para iniciar una transmisi�n de v�deo en directo de la pantalla del dispositivo infectado.

La naturaleza evolutiva de los comandos compatibles indica que PlayPraetor est� siendo desarrollado activamente por sus operadores, lo que permite un robo de datos exhaustivo. En las �ltimas semanas, los ataques que distribuyen el malware se han dirigido cada vez m�s a v�ctimas de habla hispana y �rabe, lo que indica una expansi�n m�s amplia de la oferta de malware como servicio (MaaS).

Por su parte, el panel C2 no solo se utiliza para interactuar activamente con los dispositivos comprometidos en tiempo real, sino que tambi�n permite la creaci�n de p�ginas de entrega de malware a medida que imitan la Google Play Store tanto en dispositivos de escritorio como m�viles.

"El �xito de la campa�a se basa en una metodolog�a operativa bien establecida, que aprovecha un modelo MaaS con m�ltiples afiliados", afirm� Cleafy. "Esta estructura permite llevar a cabo campa�as amplias y muy espec�ficas".

PlayPraetor es el �ltimo malware creado por ciberdelincuentes de habla china con el objetivo de cometer fraudes financieros, una tendencia ejemplificada por la aparici�n de ToxicPanda y SuperCard X durante el �ltimo a�o.

Fuente: thehackernews.com