PlayPraetor : le cheval de Troie chinois qui infecte les téléphones Android

  • PlayPraetor dépasse les 11.000 2.000 infections et ajoute plus de XNUMX XNUMX nouvelles victimes chaque semaine.
  • Origine et contrôle de langue chinoise, avec infrastructure MaaS et panel d'affiliation.
  • Vol de banque sur l'appareil à l'aide de l'accessibilité, des superpositions et du contrôle à distance en temps réel.
  • Distribution avec ingénierie sociale via Meta Ads, SMS et fausses pages imitant Google Play.
Alberto Navarro

Minutes 5

Cheval de Troie sur Android

L'écosystème Android est confronté à une campagne de malwares particulièrement agressive : le Cheval de Troie chinois PlayPraetor a réussi à infiltrer des milliers de téléphones et se propage rapidement via des publicités sur les réseaux sociaux et des sites imitant l'apparence de Google Play. Des chercheurs indépendants ont documenté une opération coordonnée et professionnalisée qui donne la priorité à la fraude financière à partir de l'appareil lui-même.

Les données recueillies indiquent plus de 11.000 XNUMX téléphones portables compromis Le taux de propagation dépasse déjà les 2.000 XNUMX nouvelles infections par semaine. La campagne cible particulièrement les utilisateurs de Espagne, Portugal et France, bien que des épidémies soient également observées au Maroc, au Pérou et à Hong Kong, dans un modèle de malware en tant que service opéré par acteurs parlant chinois.

Qu'est-ce que PlayPraetor et comment fonctionne-t-il ?

malware Android

PlayPraetor est un RAT (Cheval de Troie d'accès à distance) pour Android qui exploite les services d'accessibilité pour prendre le contrôle du téléphone comme s'il était l'utilisateur lui-même. Grâce à cette méthode, les opérateurs peuvent Ouvrir des applications, lire des messages, autoriser des opérations et modifier des paramètres sans que la victime ne s'en aperçoive.

Le cheval de Troie se déploie superpositions qui imitent l'interface de près de 200 applications bancaires et portefeuilles de cryptomonnaies. Lorsque des identifiants ou des codes sont saisis, le logiciel malveillant les capture en temps réel et les exécute. Fraude sur l'appareil (ODF) directement depuis le téléphone mobile compromis.

En plus de voler des données, les opérateurs ont la capacité de enregistrer l'écran en direct, surveiller le presse-papiers, intercepter les frappes au clavier et maintenir des sessions de contrôle prolongées, facilitant les transactions non autorisées et les mouvements secrets de fonds.

Architecture et capacités techniques

La communication des logiciels malveillants s'articule à plusieurs niveaux pour garantir persévérance et résilience. Établissez d'abord le contact en HTTP / HTTPS avec des domaines de commande et de contrôle, effectuant des requêtes itératives pour identifier les paquets et rechercher des itinéraires avant d'activer les canaux en temps réel.

Une fois la connexion vérifiée, elle maintient un WebSocket persistant au-dessus du port 8282 pour l'exécution bidirectionnelle des ordres, et utilise un Streaming RTMP dans le port 1935 pour afficher l'écran de l'appareil pendant que des actions à distance sont effectuées.

Le panneau de contrôle accepte les commandes pour mettre à jour la configuration, enregistrer les campagnes, gérer les chevauchements, définir les applications cibles, maintenir les pulsations de connexion et distribuer des sous-commandes spécialisées. L'exfiltration s'effectue via des terminaux dédiés qui envoient empreinte digitale de l'appareil, contacts, SMS et des clés de carte ou des codes PIN vers des routes API de serveur C2 spécifiques.

Variantes et écosystème criminel

PlayPraetor n'est pas une pièce unique, mais une famille avec cinq variantes principales conçu pour différentes tâches au sein de l'opération :

  • PWA:Installe de fausses applications Web progressives qui simulent des utilitaires légitimes pour attirer la victime.
  • Phish: utilise les composants WebView pour formulaires d'usurpation d'identité et le vol de données.
  • Phantom: exploite l'accessibilité à fraude automatisée et persistance avec le C2.
  • Voile: s'appuie sur codes d'invitation et de fausses campagnes de vente pour distribuer des APK malveillants.
  • RAT: intègre des outils de contrôle à distance familiers pour espionnage et gestion totale Terminal.

L'opération fonctionne comme service d'affiliation (MaaS) avec un panneau de gestion en chinois et une architecture multi-locataire. Dans l'un des clusters analysés, deux opérateurs ont réussi à regrouper près de 60% des appareils sous votre contrôle (environ 4.500 XNUMX), avec des campagnes montrant un intérêt notable pour Utilisateurs lusophones en plus des hispanophones et des francophones.

Répartition et portée

Le succès de la campagne repose sur ingénierie socialeLes attaquants achètent des publicités sur Facebook et Instagram, les envoient SMS avec liens et conduisent les victimes vers des endroits qui imiter Google Play pour télécharger des APK frauduleux en dehors de la boutique officielle. Pour en savoir plus sur la protection, vous pouvez également consulter Conseils de cybersécurité pour les ménages vulnérables.

Après l'installation, le malware demande l'accessibilité et, selon les chiffres observés, près de 72% des personnes touchées activez cette autorisation, à ce moment-là, l'appareil est essentiellement sous le contrôle de l'opérateur.

La carte des infections montre que l'Europe concentre l'impact avec environ 58% des cas, notamment au Portugal, en Espagne et en France. D'importantes épidémies persistent également Maroc, Pérou et Hong Kong, avec des campagnes localisées et du contenu en plusieurs langues pour maximiser la conversion.

Mesures de protection recommandées

Évitez d'installer des applications en dehors de Google Play ou sources officiellesMéfiez-vous des liens dans les SMS, les réseaux sociaux ou les e-mails qui promettent des remises, des tirages au sort ou des applications « premium ».

Revoir et limiter les autorisations d'accessibilité et autres autorisations sensibles de vos applications ; si vous remarquez un comportement étrange, désinstallez-les et analysez-les avec des solutions fiables. Pour comprendre le fonctionnement du contrôle à distance lors de ces attaques, consultez notre analyse. cybersécurité post-quantique.

Garder Android et vos applications mis à jour pour fermer les vulnérabilités et active le vérification en deux étapes dans le secteur bancaire, la cryptographie et les services critiques.

Au moindre signe (superpositions suspectes, applications demandant l'accessibilité sans raison, consommation anormale), coupez les données, changez les mots de passe depuis un ordinateur propre et Contactez votre banque pour bloquer les opérations.

PlayPraetor illustre comment un Cheval de Troie mobile exploité depuis une infrastructure chinoise, avec des modules pour la fraude et le contrôle à distance, peut évoluer en quelques semaines en combinant l'ingénierie sociale, les autorisations d'accessibilité et une architecture C2 robuste, affectant des milliers d'utilisateurs Android dans différents pays.

cybersécurité post-quantique
Article connexe:
Cybersécurité post-quantique : le nouveau défi pour la protection des informations numériques

Suivez-nous sur Google Actualités