Una sofisticada operación de malware como servicio orquestada por los actores de amenaza de habla china ha comprometido con éxito más de 11,000 dispositivos Android en todo el mundo a través del despliegue de PlayPraetor, un poderoso troyano de acceso remoto diseñado para fraude en el dispositivo.
La campaña representa una escalada significativa en las operaciones de malware de banca móvil, con la botnet expandiéndose a una tasa alarmante de más de 2,000 nuevas infecciones por semana.
El malware PlayPraetor emplea una estrategia de distribución engañosa, que se hace pasar por las páginas legítimas de Google Play Store para engañar a las víctimas para que descarguen aplicaciones maliciosas.
Una vez instalado, el malware aprovecha los servicios de accesibilidad de Android para obtener un control integral en tiempo real sobre dispositivos comprometidos, lo que permite a los operadores realizar transacciones fraudulentas directamente desde el dispositivo de la víctima.
La operación se dirige a casi 200 aplicaciones bancarias y billeteras de criptomonedas a nivel mundial, lo que demuestra la amplitud de sus capacidades de fraude financiero.
El análisis geográfico revela una campaña estratégicamente enfocada en lugar de una infección generalizada aleatoria. Europa tiene el impacto más pesado, que representa el 58% de todos los dispositivos comprometidos, con concentraciones particularmente altas en Portugal, España y Francia.
Analistas de CLEAFY identificado que la campaña también mantiene una presencia significativa en África (22%), América (12%) y Asia (8%), con puntos críticos notables en Marruecos, Perú y Hong Kong, respectivamente.
La sofisticación técnica del malware es evidente en su arquitectura de comunicación multiprotocol. De los 11,000 dispositivos infectados, aproximadamente 7,931 han habilitado con éxito el servicio de accesibilidad requerido, que representa una tasa de activación del 72% que coloca efectivamente estos dispositivos bajo el control completo del operador.
Infraestructura de comunicación avanzada y ejecución de comandos
PlayPraetor implementa una sólida estrategia de comunicación de tres niveles que garantiza un control persistente sobre los dispositivos infectados.
El malware inicia el contacto a través de los protocolos HTTP/HTTPS, iterando sistemáticamente a través de dominios de comando y controles codificados a través del punto final/App/SearchPackageName.
Este mecanismo resiliente de latidos del corazón proporciona tolerancia a fallas contra los derribos de infraestructura. Una vez que se establece la conectividad, el malware activa dos canales especializados para operaciones en tiempo real.
Panel de control C2 con estadísticas de infección en tiempo real (Fuente-CLEAFY)
Una conexión WebSocket persistente sobre el puerto 8282 crea un canal de comando bidireccional, mientras que una transmisión RTMP en el puerto 1935 proporciona videovigilancia en vivo de la pantalla del dispositivo a través del punto final RTMP: // (C2): 1935/Live/.
Este enfoque de doble canal permite a los operadores monitorear las actividades de las víctimas en tiempo real al ejecutar transacciones fraudulentas.
Sección de control remoto del dispositivo (Fuente – CLEAFY)
El canal de WebSocket procesa seis tipos de comando principales: actualización para las modificaciones de configuración, init para el registro de campaña, alert_arr para la configuración de superposición, informar_list para la administración de aplicaciones de destino, heartbeat_web para el mantenimiento de la conexión y el mensaje para la ejecución del subcomando.
Página de entrega de malware (Fuente – CLEAFY)
La exfiltración de datos ocurre a través de puntos finales HTTP dedicados que incluyen /App /SaveDevice para huellas dactilares del dispositivo, /App /SaveContacts y /App /Savesms para la recolección de datos personales, y /App /SaveCardPwd para el robo de credenciales financieras.
La operación utiliza un sofisticado panel de control de idioma chino con una arquitectura de múltiples inquilinos que respalda la gestión de afiliados independientes mientras comparte infraestructura centralizada, lo que demuestra la naturaleza profesional de esta empresa criminal.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
