- 19,507
- 40
- 8 Ноя 2022
Он пишет с экрана, слушает нажатия и ведёт трансляцию — и вы ему разрешили.
На горизонте Android-угроз Для просмотра ссылки Войдиили Зарегистрируйся новая масштабная кампания, получившая название PlayPraetor — вредоносное программное обеспечение, способное полностью захватить контроль над заражённым устройством. Более 11 тысяч устройств уже оказались под его влиянием, и еженедельно этот показатель растёт ещё примерно на две тысячи. Основные цели — пользователи из Испании, Франции, Португалии, Марокко, Перу и Гонконга, причём акцент сделан именно на испаноязычных и франкоязычных жертвах, что указывает на смену прежней стратегии операторов.
Уникальность PlayPraetor в том, что он не просто троян с возможностью удалённого доступа. Он способен внедряться в интерфейс Android через Для просмотра ссылки Войдиили Зарегистрируйся (Accessibility Services), что позволяет ему в реальном времени управлять устройством, перехватывать действия пользователя и накладывать поддельные формы входа поверх почти двух сотен банковских и криптовалютных приложений. Это делает возможным захват учётных записей с минимальной вероятностью обнаружения.
Первое описание PlayPraetor появилось в марте 2025 года благодаря Для просмотра ссылки Войдиили Зарегистрируйся CTM360. Тогда стало известно, что кампания использует масштабную сеть поддельных страниц Google Play, ведущих на вредоносные APK-файлы. Эти страницы продвигаются через рекламу в <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span> и массовые SMS-рассылки, формируя замкнутый цикл: жертва переходит по ссылке, загружает приложение, а затем становится частью ботнета.
Операция управляется через китайскую C2-инфраструктуру и включает пять различных вариаций вредоноса. Некоторые из них имитируют прогрессивные веб-приложения (PWA) или используют WebView для фишинга. Другие направлены на фальшивые товары, фейковые «инвайт-коды» или полную передачу управления устройством операторам, используя такие механизмы, как EagleSpy и SpyNote.
Особый интерес вызывает модификация Phantom. Она предназначена для совершения мошеннических операций прямо на устройстве пользователя (on-device fraud) и охватывает около 60% всей бот-сети, сосредотачивая внимание на португалоязычных регионах. Управление заражёнными устройствами осуществляется в реальном времени через двусторонний WebSocket-канал. Дополнительно применяется RTMP-соединение для видеостриминга экрана жертвы, что даёт злоумышленникам визуальный контроль.
После установки вредонос отправляет сигналы на сервер управления по HTTP/HTTPS и получает команды, которые позволяют не только управлять приложениями, но и следить за буфером обмена, фиксировать нажатия клавиш и внедрять ложные интерфейсы. Всё это указывает на активную доработку функциональности и расширение набора возможностей для кражи данных.
Компонент инфраструктуры управления позволяет операторам не только координировать заражённые устройства, но и создавать индивидуальные фальшивые страницы Google Play под разные языки, устройства и сценарии. Подобная гибкость свидетельствует о продуманной и устойчивой модели Для просмотра ссылки Войдиили Зарегистрируйся (malware-as-a-service), в рамках которой несколько аффилированных групп получают инструменты для целевых атак.
PlayPraetor — не единственный зловред, связанный с китайскоязычными разработчиками, активно наращивающими присутствие в сегменте финансового мошенничества. За последние месяцы также выявлены активности вредоносов Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
Все эти события демонстрируют одну тенденцию: Для просмотра ссылки Войдиили Зарегистрируйся стала эпицентром для всё более изощрённых атак, в которых соединяются традиционные техники фишинга, инструменты удалённого доступа, визуальный контроль и манипуляции с интерфейсом. Цель остаётся прежней — обманом получить доступ к банковским данным и обойти защитные механизмы устройства.
На горизонте Android-угроз Для просмотра ссылки Войди
Уникальность PlayPraetor в том, что он не просто троян с возможностью удалённого доступа. Он способен внедряться в интерфейс Android через Для просмотра ссылки Войди
Первое описание PlayPraetor появилось в марте 2025 года благодаря Для просмотра ссылки Войди
Операция управляется через китайскую C2-инфраструктуру и включает пять различных вариаций вредоноса. Некоторые из них имитируют прогрессивные веб-приложения (PWA) или используют WebView для фишинга. Другие направлены на фальшивые товары, фейковые «инвайт-коды» или полную передачу управления устройством операторам, используя такие механизмы, как EagleSpy и SpyNote.
Особый интерес вызывает модификация Phantom. Она предназначена для совершения мошеннических операций прямо на устройстве пользователя (on-device fraud) и охватывает около 60% всей бот-сети, сосредотачивая внимание на португалоязычных регионах. Управление заражёнными устройствами осуществляется в реальном времени через двусторонний WebSocket-канал. Дополнительно применяется RTMP-соединение для видеостриминга экрана жертвы, что даёт злоумышленникам визуальный контроль.
После установки вредонос отправляет сигналы на сервер управления по HTTP/HTTPS и получает команды, которые позволяют не только управлять приложениями, но и следить за буфером обмена, фиксировать нажатия клавиш и внедрять ложные интерфейсы. Всё это указывает на активную доработку функциональности и расширение набора возможностей для кражи данных.
Компонент инфраструктуры управления позволяет операторам не только координировать заражённые устройства, но и создавать индивидуальные фальшивые страницы Google Play под разные языки, устройства и сценарии. Подобная гибкость свидетельствует о продуманной и устойчивой модели Для просмотра ссылки Войди
PlayPraetor — не единственный зловред, связанный с китайскоязычными разработчиками, активно наращивающими присутствие в сегменте финансового мошенничества. За последние месяцы также выявлены активности вредоносов Для просмотра ссылки Войди
Все эти события демонстрируют одну тенденцию: Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
