Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Android-троян PlayPraetor заразил более 11 000 устройств (http://txgate.io:443/showthread.php?t=51302392)

Artifact 08-06-2025 08:47 AM
<div id="post_message_807662">

Специалисты компании Cleafy <a href="https://www.cleafy.com/cleafy-labs/playpraetors-evolving-threat-how-chinese-speaking-actors-globally-scale-an-android-rat" target="_blank">обнаружили </a>новый Android-троян PlayPraetor. По их данным, он уже заразил более 11 000 устройств, и каждую неделю фиксируется более 2000 новых заражений.<br/>
<br/>
В настоящее время вредонос атакует пользователей в Португалии, Испании, Франции, Марокко, Перу и Гонконге, но исследователи пишут об активных кампаниях, нацеленных на испаноязычную и франкоязычную аудиторию. То есть сейчас операторы малвари пытаются сменить фокус с прежних категорий жертв.<br/>
<br/>
Кроме того, в последние недели вредонос все чаще распространяется среди испаноязычных и арабоязычных пользователей, поэтому предполагается, что теперь PlayPraetor работает по схеме MaaS (Malware-as-a-service, «Малварь-как-сервис»).<br/>
<br/>
Эксперты пишут, что PlayPraetor связывается с расположенным в Китае управляющим сервером и не слишком отличается от других Android-троянов: он злоупотребляет Accessibility services, чтобы получить удаленный контроль над устройством, а также способен накладывать фишинговые оверлеи поверх почти 200 банковских приложений и криптокошельков, чтобы похитить учетные данные.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/546732/malware.jpg"/><br/>
<br/>
Впервые PlayPraetor был обнаружен компанией <a href="https://www.ctm360.com/reports/playpraetor-trojan-report" target="_blank">CTM360 </a>в марте 2025 года. Тогда исследователи отмечали, что злоумышленники используют тысячи фальшивых страниц, замаскированных под Google Play Store, для распространения вредоноса. Эта схема позволяет операторам малвари похищать банковские учетные данные, отслеживать содержимое буфера обмена и перехватывать нажатия клавиш.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Ссылки на поддельные страницы Google Play Store распространяются посредством рекламы в социальных сетях и через SMS-сообщения, что помогает атакующим охватить более широкую аудиторию, — поясняли исследователи. — Фальшивые объявления и сообщения заставляют пользователей переходить по ссылкам, ведущим на сайты с вредоносными APK-файлами».</font>
</td>
</tr>
</table>
</div>Эксперты пишут, что PlayPraetor существует в пяти вариантах:<ul><li><b>PWA</b> — устанавливает фальшивые Progressive Web Apps;</li>
</ul><ul><li><b>Phish</b> — основан на WebView-приложениях;</li>
</ul><ul><li><b>Phantom</b> — использует Accessibility services для постоянного контроля устройства и связи с управляющим сервером;</li>
</ul><ul><li><b>Veil</b> — поддерживает фишинг по инвайт-кодам и предлагает фейковые товары;</li>
</ul><ul><li><b>EagleSpy/SpyNote</b> — варианты RAT с полным удаленным доступом.</li>
</ul><img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/546732/ctm.jpg"/><br/>
<br/>
По данным Cleafy, вариант Phantom осуществляет мошенничество прямо на устройстве жертвы (on-device fraud, ODF). Им управляют две ключевые аффилированные группы хакеров, контролирующие примерно 60% ботнета (около 4500 зараженных устройств), и их активность сосредоточена в основном на португалоязычных странах.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Основная функциональность строится на злоупотреблении Accessibility services в Android, что дает операторам обширный и почти мгновенный контроль над зараженным устройством, — отмечают в Cleafy. — Это позволяет проводить мошеннические действия напрямую с устройства жертвы».</font>
</td>
</tr>
</table>
</div>После установки малварь связывается с управляющим сервером через HTTP/HTTPS и устанавливает WebSocket-соединение для двусторонней передачи команд. Также запускается RTMP-сессия (Real-Time Messaging Protocol), через которую злоумышленники могут просматривать прямую трансляцию всего происходящего на экране зараженного девайса.<br/>
<br/>
Список поддерживаемых команд трояна постоянно пополняется, что указывает на активную разработку вредоноса.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Успех этой кампании основан на отлаженной операционной структуре и модели malware-as-a-service с участием нескольких аффилиатов, — отмечают исследователи Cleafy. — Такая структура позволяет проводить масштабные и таргетированные кампании».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/08/05/playpraetor" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 05:18 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.