Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie d’accès à distance pour les appareils Android appelé PlayPraetor qui a infecté plus de 11 000 appareils dans plusieurs pays, avec un accent particulier sur l’Europe et l’Amérique Latine. Ce malware a montré une croissance explosive, avec plus de 2 000 nouvelles infections par semaine, ciblant principalement les locuteurs espagnols et français, ce qui suggère un changement stratégique dans sa base de victimes.
Fraude et vol de données
PlayPraetor se distingue des autres chevaux de Troie en tirant parti des services d’accessibilité d’Android pour obtenir un contrôle à distance complet sur les appareils infectés. Les opérateurs du malware utilisent cette fonctionnalité pour afficher des écrans de connexion frauduleux dans plus de 200 applications bancaires et de cryptomonnaies, permettant ainsi le vol de données sensibles des utilisateurs.
Le cheval de Troie fait partie d’une opération mondiale coordonnée et utilise un modèle de malware en tant que service (MaaS). PlayPraetor se présente sous différentes variantes, chacune conçue pour exécuter différents types de fraudes. Ses méthodes de distribution incluent la publicité trompeuse à travers des annonces sur des plateformes de réseaux sociaux et des SMS envoyés à des utilisateurs non avertis, les conduisant vers des domaines falsifiés hébergeant des applications malveillantes.
De plus, PlayPraetor a la capacité de surveiller l’activité du presse-papiers et d’enregistrer les touches, ce qui permet aux attaquants d’effectuer des actions frauduleuses sans que la victime ne s’en rende compte. L’opération a été attribuée à des acteurs de menaces de langue chinoise, et ses campagnes ressemblent à d’autres activités criminelles récentes, comme celles perpétrées par le cheval de Troie ToxicPanda.
Les analyses des chercheurs soulignent que le panneau de commande et de contrôle de PlayPraetor facilite non seulement l’interaction en temps réel avec les dispositifs infectés, mais permet également la création de pages falsifiées du Google Play Store, amplifiant ainsi sa portée. Avec la croissance soutenue de ce malware, la communauté de la cybersécurité reste vigilante face à l’évolution de ces techniques de fraude menaçantes.