Los investigadores de ciberseguridad han descubierto un tronero de camino remoto de Android (rata) llamado PlayPraetor Eso ha infectado más de 11,000 dispositivos, principalmente en Portugal, España, Francia, Marruecos, Perú y Hong Kong.
«El rápido crecimiento de la botnet, que ahora supera las 2,000 nuevas infecciones por semana, está impulsado por campañas agresivas centradas en los hablantes españoles y franceses, lo que indica un cambio importante acullá de su cojín de víctimas global», dijeron los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini en un descomposición del malware.
PlayPraetor, administrado por un panel chino de comando y control (C2), se desvía significativamente de otros troyanos de Android en que abusa de los servicios de accesibilidad para obtener control remoto y puede servir pantallas de inicio de sesión de superposición falsas sobre casi 200 aplicaciones bancarias y billeteras de criptomonedas en un intento de someter cuentas a los víctimas.
PlayPraetor fue documentado por primera vez por CTM360 en marzo de 2025, detallando el uso de la operación de miles de páginas de descarga de Google Play de Google Fraudulent para perpetrar una campaña de estafa a gran escalera interconectada que puede cosechar credenciales bancarias, monitorear la actividad del portapapeles y las llaves de registro.
«Los enlaces a las páginas de Play Store se distribuyen a través de meta anuncios y mensajes SMS para venir efectivamente a una amplia audiencia», señaló la compañía con sede en Bahrein en ese momento. «Estos anuncios y mensajes engañosos engañan a los usuarios para hacer clic en los enlaces, lo que los lleva a los dominios fraudulentos que alojan a los apks maliciosos».
Se evalúa como una operación coordinada a nivel mundial, PlayPraetor viene en cinco variantes diferentes que instalan aplicaciones web progresivas engañosas (PWA), aplicaciones basadas en WebView (PHISH), servicios de accesibilidad de explotación para persistentes y C2 (Phantom), facilitan los usuarios de phishing y trucos basados en código en productos de transacción en productos de falsificación (Veil) y concesión de control remoto a través de EaGlespy y Spynote (Rat Rat Ratting (Rat Rat Rat Ratting (Rat Rat Rat Rategys.
La modificación trasgo de PlayPraetor, según la compañía de prevención de fraude italiana, es capaz de fraude en el dispositivo (ODF) y está dominada por dos operadores de afiliados principales que controlan aproximadamente del 60% de la botnet (aproximadamente 4,500 dispositivos comprometidos) y parecen centrar sus esfuerzos en torno a objetivos de patrocinio portugueses.
«Su funcionalidad principal se cimiento en violar de los servicios de accesibilidad de Android para obtener un control extenso en tiempo vivo sobre un dispositivo comprometido», dijo Clafy. «Esto permite que un cámara realice acciones fraudulentas directamente en el dispositivo de la víctima».
 |
| Fuente de la imagen: CTM360 |
Una vez instalado, los malware se llevan al servidor C2 a través de HTTP/HTTPS y utiliza una conexión WebSocket para crear un canal bidireccional para emitir comandos. Igualmente configura una conexión de Protocolo de correo en tiempo vivo (RTMP) para iniciar una transmisión en vivo de la pantalla del dispositivo infectado.
La naturaleza en crecimiento de los comandos compatibles indica que PlayPraetor está siendo desarrollado activamente por sus operadores, lo que permite el robo de datos integral. En las últimas semanas, los ataques que distribuyen el malware se han dirigido cada vez más a las víctimas de acento española y árabe, lo que indica una expansión más amplia de la propuesta de malware como servicio (MAAS).
El panel C2, por su parte, no solo se usa para interactuar activamente con dispositivos comprometidos en tiempo vivo, sino que asimismo permite la creación de páginas de entrega de malware a medida que imitan Google Play Store en dispositivos de escritorio y móviles.
«El éxito de la campaña se cimiento en una metodología operativa perfectamente establecida, aprovechando un maniquí MAAS de múltiples afiliados», dijo Clafy. «Esta estructura permite campañas amplias y mucho específicas».
PlayPraetor es el posterior malware que se origina en los actores de amenaza de acento china con el objetivo de aguantar a extremidad fraude financiero, una tendencia ejemplificada por la aparición de Toxicpanda y Supercard X durante el año pasado.
Toxicpanda evoluciona
Según los datos de Bitsight, ToxicPanda ha comprometido aproximadamente de 3.000 dispositivos Android en Portugal, seguido de España, Grecia, Marruecos y Perú. Las campañas que distribuyen el malware han explotado la TAG-1241, un sistema de distribución de tráfico (TDS), para la distribución de malware utilizando ClickFix y Fake Google Chrome Update Les.
«Esta redirección cuidadosamente orquestada es parte del diseño del TDS para respaldar que solo los objetivos seleccionados se canalizan a estos puntos finales maliciosos», dijo el investigador de seguridad Pedro Falé en un mensaje la semana pasada.
La última traducción de ToxicPanda progreso a sus predecesores al incorporar un operación de concepción de dominio (DGA) para establecer C2 y mejorar la resiliencia operativa frente a los derribos de infraestructura. Igualmente se hornean en el malware hay nuevos comandos para establecer un dominio C2 rotativo y un mejor control de superposiciones maliciosas.
DoubleTrouble aumenta
Los hallazgos se producen cuando Zimperium reveló otro sofisticado troyano de banca Android denominado DoubleTrouble que ha evolucionado más allá de los ataques de superposición para esculpir la pantalla del dispositivo, registrar las pulsaciones de teclas y ejecutar varios comandos para la exfiltración de datos y el control del dispositivo arraigado.
Encima de apoyarse en gran medida en violar de los servicios de accesibilidad de Android para aguantar a extremidad sus actividades fraudulentas, la organización de distribución de DoubletrOuble implica exprimir sitios web falsos que alojan muestras de malware directamente interiormente de los canales de discordia.
«Las nuevas funcionalidades incluyen: mostrar superposiciones de UI maliciosas para robar códigos de pin o patrones de desbloqueo, capacidades integrales de reproducción de pantalla, la capacidad de cortar la tolerancia de aplicaciones específicas y la funcionalidad de keylogging descubierta», dijo el investigador de Zimperium Zlabs Vishnu Madhav.
