Екосистема Android стикається з особливо агресивною кампанією шкідливого програмного забезпечення: Китайський троян PlayPretor вдалося проникнути на тисячі телефонів і швидко поширюється через рекламу в соціальних мережах і на сайтах, що імітують зовнішній вигляд Google Play. Незалежні дослідники задокументували скоординована та професійна робота що надає пріоритет фінансовому шахрайству з самого пристрою.
Зібрані дані вказують на понад 11.000 XNUMX мобільних телефонів було зламано вже зі швидкістю поширення, що перевищує 2.000 нових інфекцій на тиждень. Кампанія особливо орієнтована на користувачів Іспанії, Португалії та Франції, хоча спалахи також спостерігаються в Марокко, Перу та Гонконзі, в рамках моделі шкідливе програмне забезпечення як послуга керується Китайськомовні актори.
Що таке PlayPraetor і як він працює?
PlayPraetor – це RAT (троян віддаленого доступу) для Android який використовує служби доступності для керування телефоном так, ніби це сам користувач. За допомогою цього методу оператори можуть Відкривайте програми, читайте повідомлення, авторизуйте операції та змінюйте налаштування без відома жертви.
Троян розгортається накладання що імітують інтерфейс майже 200 банківських додатків та криптогаманців. Коли вводяться облікові дані або коди, шкідливе програмне забезпечення фіксує їх у режимі реального часу та виконує їх. Шахрайство на пристроях (ODF) безпосередньо зі скомпрометованого мобільного телефону.
Окрім крадіжки даних, оператори мають можливість записувати екран у прямому ефірі, моніторити буфер обміну, перехоплювати натискання клавіш та підтримувати розширені сеанси контролю, сприяючи несанкціонованим транзакціям та прихованому переміщенню коштів.
Архітектура та технічні можливості
Комунікація зі шкідливим програмним забезпеченням відбувається на кількох рівнях, щоб забезпечити наполегливість та стійкістьСпочатку встановіть контакт HTTP / HTTPS з доменами командного управління, виконуючи ітеративні запити для ідентифікації пакетів та пошуку маршрутів перед активацією каналів реального часу.
Після підтвердження з'єднання воно підтримує Постійний вебсокет над портом 8282 для двонаправленого виконання ордерів та використовує RTMP-потокова передача en el puerto 1935 для відображення екрана пристрою під час виконання віддалених дій.
Панель керування приймає команди для оновити конфігурацію, записувати кампанії, керувати перекриттями, визначати цільові програми, підтримувати серцебиття з’єднань та відправляти спеціалізовані підзамовлення. Вилучення даних здійснюється через виділені кінцеві точки, які надсилають відбиток пальця пристрою, контакти, SMS та ключі карток або PIN-коди для певних маршрутів API сервера C2.
Варіанти та кримінальна екосистема
PlayPraetor — це не єдиний виріб, а ціла сім'я з п'ять основних варіантів призначений для виконання різних завдань в рамках операції:
- PWAВстановлює підроблені прогресивні веб-додатки, що імітують легітимні утиліти, щоб заманити жертву.
- Фішвикористовує компоненти WebView для форми уособлення та крадіжку даних.
- Фантомвикористовує доступність до автоматизоване шахрайство та наполегливість з С2.
- Завісаспирається на коди запрошень та фальшиві кампанії з продажу для розповсюдження шкідливих APK-файлів.
- ЩУР: інтегрує знайомі інструменти дистанційного керування для шпигунство та тотальний менеджмент термінал.
Операція працює так партнерський сервіс (MaaS) з китайськомовною панеллю керування та багатокористувацькою архітектурою. В одному з аналізованих кластерів двом операторам вдалося згрупувати майже 60% пристроїв під вашим контролем (близько 4.500), причому кампанії демонструють значний інтерес до Користувачі португалофонів на додаток до іспанськомовних та французькомовних.
Розповсюдження та сфера застосування
Успіх кампанії залежить від соціальна інженеріяЗловмисники купують рекламу у Facebook та Instagram, розсилають SMS з посиланнями і ведуть жертв до місць, які імітувати Google Play завантажувати шахрайські APK-файли поза офіційним магазином. Якщо ви хочете дізнатися більше про те, як захистити себе, ви також можете переглянути Поради щодо кібербезпеки для вразливих домогосподарств.
Після встановлення шкідливе програмне забезпечення запитує доступ і, згідно зі спостережуваними показниками, близьке до 72% постраждалих активувати цей дозвіл, після чого пристрій фактично перебуває під контролем оператора.
Карта інфікування показує, що Європа зосереджує вплив приблизно на 58% випадків, особливо в Португалії, Іспанії та Франції. Значні спалахи також тривають у Марокко, Перу та Гонконг, з локалізованими кампаніями та контентом кількома мовами для максимізації конверсії.
Рекомендовані захисні заходи
Уникайте встановлення програм поза межами Google Play або офіційні джерелаБудьте обережні з посиланнями в SMS, соціальних мережах або електронних листах, які обіцяють знижки, розіграші чи «преміум»-додатки.
Перегляньте та обмежте дозволи доступу та інші конфіденційні дозволи від ваших програм; якщо ви помітили дивну поведінку, видаліть їх та проскануйте за допомогою надійних рішень. Щоб зрозуміти, як працює дистанційне керування під час цих атак, перегляньте наш аналіз у постквантова кібербезпека.
Тримайте Оновлено Android та ваші програми закрити вразливості та активувати двоетапна перевірка у банківській справі, криптовалюті та критично важливих послугах.
За будь-яких ознак (підозрілі накладання, програми, що запитують доступ без причини, аномальне споживання), вирізайте дані, змінюйте паролі з чистого комп’ютера та Зверніться до свого банку блокувати операції.
PlayPraetor ілюструє, як Мобільний троян, що працює з китайської інфраструктури, з модулями для боротьби з шахрайством та дистанційного керування, може масштабуватися за лічені тижні, поєднуючи соціальну інженерію, дозволи доступу та надійну архітектуру C2, впливаючи на тисячі користувачів Android у різних країнах.
