Um novo malware de acesso remoto foi descoberto em circulação e já comprometeu mais de 11 mil dispositivos. Chamado de PlayPraetor, o trojan possui estrutura semelhante a outras ferramentas da categoria e tem como objetivo obter controle remoto do dispositivo e roubar credenciais de apps bancários e carteiras digitais.
O PlayPraetor é um Android RAT (Remote Access Trojan) distribuído por meio de links maliciosos enviados via SMS ou por anúncios hospedados no Meta Ads. O controle do malware é feito por um painel command-and-control (C2) de origem chinesa.
“O crescimento da rede de bots, que agora excede a marca de 2 mil infecções por semana, é impulsionado por uma campanha agressiva focada em usuários que falam espanhol e francês, indicando uma mudança de estratégia em relação à base de vítimas anterior”, explicaram pesquisadores da empresa de cibersegurança Cleafy.
Como funciona o malware PlayPraetor?
O PlayPraetor foi identificado pela primeira vez pela empresa CTM360, em março de 2025. Segundo os pesquisadores, ele era distribuído por meio de milhares de páginas fraudulentas que imitavam a Play Store.
“Os links se passam por páginas da Play Store, distribuídos por meio do Meta Ads e mensagens SMS, com o objetivo de alcançar um público amplo. Esses anúncios e mensagens maliciosas convencem o usuário a clicar nos links, direcionando-os a páginas falsas com APKs infectados”, detalhou a empresa.
Assim como outros malwares, os criminosos tentam convencer o usuário de que o aplicativo é legítimo.
Quais são as cinco variações da campanha de disseminação do PlayPraetor?
- Progressive Web App (PWA): web app falso que cria atalhos e envia notificações para atrair interações;
- Apps WebView (Phish): app que abre uma página falsa de phishing para roubo de credenciais;
- PlayPraetor (Phantom): permite execução persistente de código remoto;
- PlayPraetor RAT: trojan completo de acesso remoto;
- PlayPraetor Veil: se disfarça como uma marca legítima para aplicar golpes de phishing.
Quais são os alvos do PlayPraetor?
O PlayPraetor mira tanto usuários domésticos quanto corporativos, oferecendo vantagens para os criminosos independentemente do perfil da vítima. Atualmente, 58% dos casos registrados estão concentrados em Portugal, Espanha e França. Marrocos, Peru e Hong Kong também aparecem entre os países mais afetados.
Após sua identificação no sul da Europa e na América Latina, o PlayPraetor foi considerado uma ameaça cibernética global.
Este malware é mais um exemplo de campanha operada por grupos falantes de chinês voltada à prática de fraudes bancárias. Outros casos semelhantes incluem o ToxicPanda e o SuperCard X, ambos identificados em 2024.
Quer se proteger contra os malwares mais recentes e manter seus dados seguros? Siga o TecMundo nas redes sociais e acompanhe as principais atualizações sobre cibersegurança e tecnologia.