Kybernetická hrozba s názvem PlayPraetor zasáhla více než 11 000 zařízení se systémem Android, především v Portugalsku, Španělsku, Francii, Maroku, Peru a Hongkongu. Malware je řízen z čínského C2 panelu a šíří se prostřednictvím falešných webů připomínajících Google Play Store. Tyto podvodné stránky jsou propagovány přes reklamy na platformách Meta i prostřednictvím SMS zpráv, což útočníkům umožňuje oslovit široké publikum.

PlayPraetor využívá přístup k funkcím zpřístupnění a dokáže převzít plnou kontrolu nad zařízením v reálném čase. Umí zobrazovat falešné přihlašovací obrazovky přes stovky bankovních aplikací a kryptoměnových peněženek, sledovat obsah schránky, zaznamenávat stisky kláves a dokonce spouštět video přenos obrazovky. Infekce probíhá dynamicky – malware navazuje obousměrná spojení přes WebSocket a využívá i protokol RTMP pro vzdálený dohled.

Nebezpečnost PlayPraetoru spočívá i v jeho variantách, mezi nimiž jsou například Phantom pro vytrvalou kontrolu přímo na zařízení nebo Veil, který uživatele láká k nákupu falešných produktů. Dvě hlavní affiliátní skupiny ovládají více než 60 % botnetu a zaměřují se zejména na portugalsky mluvící cíle.

Vedle PlayPraetoru se objevují i další hrozby, například ToxicPanda nebo DoubleTrouble. Tyto škodlivé aplikace kombinují metody phishingu, překryvných obrazovek, keyloggerů a záznamu obrazovky. Jejich šíření probíhá přes podvodné weby, falešné aktualizace nebo dokonce Discord kanály.

Google reagoval ujištěním, že Play Protect automaticky chrání uživatele Androidu před známými verzemi těchto malwarů. Ochrana je aktivní ve výchozím nastavení a dokáže varovat či blokovat aplikace vykazující škodlivé chování i mimo oficiální Play Store.

Zdroj: The Hacker News