Китайские хакеры атаковали 11 000 устройств Android через троян PlayPraetor в глобальной операции Malware-as-a-Service

Кампания, активная с начала 2025 года, имитирует легитимные страницы Google Play Store для распространения вредоносных приложений, что знаменует переход от локальных угроз к глобальному воздействию. Европа стала основным регионом-мишенью, на который приходится 58% заражений, с концентрацией в Португалии, Испании и Франции. Значительные очаги зафиксированы в Марокко, Перу и Гонконге, демонстрируя стратегическую географическую избирательность атаки.

Еженедельный прирост заражений превышает 2000 устройств, что обусловлено агрессивным таргетированием испаноязычных и франкоговорящих пользователей. Этот сдвиг сигнализирует об отходе от традиционной ориентации на португалоязычных жертв. Технический анализ PlayPraetor выявил эксплуатацию сервисов доступности Android для получения неограниченного контроля. Троян использует комбинированную инфраструктуру: HTTP/HTTPS для первичных подключений, WebSocket на порту 8282 для двусторонней передачи команд и RTMP на порту 1935 для потоковой трансляции экрана. Ключевые функции включают команды "update" для изменения конфигурации, "init" для регистрации устройств и "report_list" для мониторинга целевых приложений. Пути эксфильтрации данных, такие как /app/saveDevice и /app/saveCardPwd, предназначены для сбора банковских реквизитов и цифровых отпечатков устройств.

Эволюция трояна подтверждается сокращением субкоманд с 55 до 52 в образцах июня 2025 года и добавлением новых функций, включая "add_volumes" и "card_unlock". PlayPraetor осуществляет оверлейные атаки против почти 200 банковских приложений и криптокошельков глобального охвата, что позволяет перехватывать учетные данные и инициировать несанкционированные транзакции. Аффилированная структура ботнета демонстрирует иерархию: два доминирующих оператора контролируют 60% зараженных устройств, специализируясь на португалоязычных пользователях, тогда как более мелкие группы концентрируются на испанском, французском и арабском сегментах. Временные тренды отражают экспоненциальный рост испаноязычных жертв и всплески активности во франкоязычных регионах, указывая на стратегическую экспансию в Латинскую Америку и Африку.

Инфраструктура управления построена на китайскоязычной многопользовательской панели C2, которая обеспечивает аффилированных участников инструментарием для автоматизированного создания фишинговых страниц, имитирующих доверенные приложения вроде Google Chrome. Панель сегментирует среды операторов, предлагая функции потоковой передачи экрана, запуска приложений и извлечения контактов, SMS и скриншотов. Модель MaaS снижает порог входа для злоумышленников, централизуя цепочку компрометации и способствуя глобализации мошенничества. Исследователи отмечают соответствие PlayPraetor трендам китайских угроз, аналогичным кампаниям ToxicPanda и Supercard X, где упор делается не на инновационные методы, а на операционную эффективность. Активация трояна на 72% зараженных устройств (около 8000 единиц) создает непосредственные риски для финансовых институтов.

Анализ панели C2 выявил специализированные разделы для удаленного управления, где операторы могут в реальном времени взаимодействовать с устройствами через интерактивные инструменты. Интерфейс включает статус батареи, опции захвата изображений с камеры и сетку установленных приложений для мгновенного запуска. Отдельный модуль позволяет генерировать кастомные фишинговые страницы с ручной интеграцией доменов, что обеспечивает модульность и быструю адаптацию под различные цели. Тактическая переориентация на испанский и французский сегменты, подтвержденная всплеском в 2000 инфекций еженедельно, указывает на динамичную перестройку стратегии. Детали отчета TLP:WHITE основаны на закрытой версии TLP:AMBER, ранее переданной CERT-командам финансового сектора и правоохранительным органам. Постоянное развитие функционала PlayPraetor и его интеграция в сервисную модель делают эту угрозу перманентным элементом киберпейзажа, требующим координированного международного реагирования без предоставления конкретных рекомендаций по защите.

IPv4

• 199.247.6.61

Domains

• djp.center
• fsdlaowaa.top
• kmyjh.top
• mskisdakw.top

SHA256

• 1b022ac761a077f0116bb427b6cf8315a86aa654ae0cd55a6616647bbeb769c4
• d392372928571662e4e59b0e3ff52a0e39a8f062633a4f5bdafc681bcdcdcf22