Los investigadores de ciberseguridad han descubierto un tronero de acceso remoto de Android (rata) llamado PlayPraetor Eso ha infectado más de 11,000 dispositivos, principalmente en Portugal, España, Francia, Marruecos, Perú y Hong Kong.
«El rápido crecimiento de la botnet, que ahora supera las 2,000 nuevas infecciones por semana, está impulsado por campañas agresivas centradas en los hablantes españoles y franceses, lo que indica un cambio estratégico lejos de su base de víctimas común», dijeron los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini en un análisis del malware.
PlayPraetor, administrado por un panel chino de comando y control (C2), se desvía significativamente de otros troyanos de Android en que abusa de los servicios de accesibilidad para obtener control remoto y puede servir pantallas de inicio de sesión de superposición falsas sobre casi 200 aplicaciones bancarias y billeteras de criptomonedas en un intento de secuestrar cuentas de víctimas.
PlayPraetor fue documentado por primera vez por CTM360 en marzo de 2025, detallando el uso de la operación de miles de páginas de descarga de Google Play de Google Fraudulent para perpetrar una campaña de estafa a gran escala interconectada que puede recolectar credenciales bancarias, monitorear la actividad del portapapeles y las llaves de registro.
«Los enlaces a las páginas de Play Store se distribuyen a través de meta anuncios y mensajes SMS para llegar efectivamente a una amplia audiencia», señaló la compañía con sede en Bahrein en ese momento. «Estos anuncios y mensajes engañosos engañan a los usuarios para hacer clic en los enlaces, lo que los lleva a los dominios fraudulentos que alojan a los apks maliciosos».
Se evalúa como una operación coordinada a nivel mundial, PlayPraetor viene en cinco variantes diferentes que instalan aplicaciones web progresivas engañosas (PWA), aplicaciones basadas en WebView (PHISH), servicios de accesibilidad de explotación para persistentes y C2 (Phantom), facilitan los usuarios de phishing y trucos basados en código en productos de compra en productos de falsificación (Veil) y concesión de control remoto a través de EaGlespy y Spynote (Rat Rat Ratting (Rat Rat Rat Ratting (Rat Rat Rat Rategys.
La variante fantasma de PlayPraetor, según la compañía de prevención de fraude italiana, es capaz de fraude en el dispositivo (ODF) y está dominada por dos operadores de afiliados principales que controlan alrededor del 60% de la botnet (aproximadamente 4,500 dispositivos comprometidos) y parecen centrar sus esfuerzos en torno a objetivos de patrocinio portugueses.
«Su funcionalidad principal se basa en abusar de los servicios de accesibilidad de Android para obtener un control extenso en tiempo real sobre un dispositivo comprometido», dijo Clafy. «Esto permite que un operador realice acciones fraudulentas directamente en el dispositivo de la víctima».
 |
| Fuente de la imagen: CTM360 |
Una vez instalado, los malware se llevan al servidor C2 a través de HTTP/HTTPS y utiliza una conexión WebSocket para crear un canal bidireccional para emitir comandos. También configura una conexión de Protocolo de mensajería en tiempo real (RTMP) para iniciar una transmisión en vivo de la pantalla del dispositivo infectado.
La naturaleza en evolución de los comandos compatibles indica que PlayPraetor está siendo desarrollado activamente por sus operadores, lo que permite el robo de datos integral. En las últimas semanas, los ataques que distribuyen el malware se han dirigido cada vez más a las víctimas de habla española y árabe, lo que indica una expansión más amplia de la oferta de malware como servicio (MAAS).
El panel C2, por su parte, no solo se usa para interactuar activamente con dispositivos comprometidos en tiempo real, sino que también permite la creación de páginas de entrega de malware a medida que imitan Google Play Store en dispositivos de escritorio y móviles.
«El éxito de la campaña se basa en una metodología operativa bien establecida, aprovechando un modelo MAAS de múltiples afiliados», dijo Clafy. «Esta estructura permite campañas amplias y altamente específicas».
PlayPraetor es el último malware que se origina en los actores de amenaza de habla china con el objetivo de llevar a cabo fraude financiero, una tendencia ejemplificada por la aparición de Toxicpanda y Supercard X durante el año pasado.
Toxicpanda evoluciona
Según los datos de Bitsight, ToxicPanda ha comprometido alrededor de 3.000 dispositivos Android en Portugal, seguido de España, Grecia, Marruecos y Perú. Las campañas que distribuyen el malware han aprovechado la TAG-1241, un sistema de distribución de tráfico (TDS), para la distribución de malware utilizando ClickFix y Fake Google Chrome Update Les.
«Esta redirección cuidadosamente orquestada es parte del diseño del TDS para garantizar que solo los objetivos seleccionados se canalizan a estos puntos finales maliciosos», dijo el investigador de seguridad Pedro Falé en un informe la semana pasada.
La última versión de ToxicPanda mejora a sus predecesores al incorporar un algoritmo de generación de dominio (DGA) para establecer C2 y mejorar la resiliencia operativa frente a los derribos de infraestructura. También se hornean en el malware hay nuevos comandos para establecer un dominio C2 alternativo y un mejor control de superposiciones maliciosas.
DoubleTrouble aumenta
Los hallazgos se producen cuando Zimperium reveló otro sofisticado troyano de banca Android denominado DoubleTrouble que ha evolucionado más allá de los ataques de superposición para grabar la pantalla del dispositivo, registrar las pulsaciones de teclas y ejecutar varios comandos para la exfiltración de datos y el control del dispositivo arraigado.
Además de apoyarse en gran medida en abusar de los servicios de accesibilidad de Android para llevar a cabo sus actividades fraudulentas, la estrategia de distribución de DoubletrOuble implica aprovechar sitios web falsos que alojan muestras de malware directamente dentro de los canales de discordia.
«Las nuevas funcionalidades incluyen: mostrar superposiciones de UI maliciosas para robar códigos de pin o patrones de desbloqueo, capacidades integrales de grabación de pantalla, la capacidad de bloquear la apertura de aplicaciones específicas y la funcionalidad de keylogging avanzada», dijo el investigador de Zimperium Zlabs Vishnu Madhav.