O trojan PlayPraetor, um malware de acesso remoto (RAT) para Android, já infectou mais de 11 mil dispositivos, especialmente em países como Portugal, Espanha, França, Marrocos, Peru e Hong Kong. De acordo com os pesquisadores, a botnet cresce a um ritmo de 2.000 novos casos por semana, impulsionada por campanhas direcionadas a usuários que falam espanhol e francês. Distribuído por meio de anúncios do Meta Ads e links maliciosos enviados via SMS, o PlayPraetor se disfarça como páginas falsas da Google Play Store.
Após instalado, ele abusa dos serviços de acessibilidade para obter controle total do aparelho e exibir sobreposições falsas de login sobre mais de 200 aplicativos bancários e de criptomoedas. O malware possui cinco variantes, com destaque para a “Phantom”, usada para fraudes diretamente no dispositivo, como transações bancárias ilegítimas em tempo real.
Dois operadores controlam cerca de 60% da botnet, com foco especial em vítimas de língua portuguesa. Além disso, o PlayPraetor utiliza conexão WebSocket e RTMP para comunicação com servidores de comando e controle (C2), permitindo transmissão ao vivo da tela do usuário e execução remota de comandos. O painel C2 também facilita a criação de páginas personalizadas que imitam a Play Store, aumentando a taxa de infecção. O modelo MaaS (malware como serviço) adotado permite a afiliação de múltiplos grupos criminosos, ampliando o alcance da campanha. A ameaça se soma a outros malwares de origem chinesa, como ToxicPanda e DoubleTrouble, que continuam a explorar serviços de acessibilidade e a evoluir com novas técnicas de roubo de dados e controle remoto.
