Androidosok, figyelem! Villámgyorsan terjed az új vírus, azonnal kiürítheti a bankszámlákat

A PlayPraetor nevű új Android-távoli hozzáférési trójait (RAT) több mint 11 000 eszközön azonosították, főként Portugáliában, Spanyolországban, Franciaországban, Marokkóban, Peruban és Hongkongban.

Hetente több mint 2000 új fertőzést regisztrálnak, a támadások jelenleg spanyol és francia nyelvterületre összpontosítanak.

A kártevő kínai vezérlőszerverről működik, és hamis banki bejelentkező felületeket jelenít meg közel 200 alkalmazásnál.

A PlayPraetor a Google Play Store-t utánzó hamis letöltőoldalakon terjed, amelyeket Meta-hirdetésekkel és SMS-ekkel népszerűsítenek.

Öt fő variánsa van, köztük a Phantom, amely valós idejű hozzáférést biztosít a fertőzött eszközhöz, és on-device fraud (ODF) támadásokat hajt végre. A botnet mintegy 60%-át két operátor irányítja, főként portugál nyelvű célpontok ellen.

A fertőzés után a kártevő HTTPS és WebSocket kapcsolaton keresztül kommunikál a C2 szerverrel, és akár élő videóstreamet is indíthat a készülék képernyőjéről. Folyamatos fejlesztés alatt áll, új parancsokkal bővítve az adatlopási és távoli vezérlési képességeket. Az elmúlt hetekben egyre több spanyol és arab nyelvű felhasználót céloznak.

A kutatók szerint a PlayPraetor a kínai nyelvű kiberbűnözői körök újabb pénzügyi csalásra tervezett eszköze, hasonlóan a ToxicPanda és SuperCard X kártevőkhöz. A ToxicPanda jelenleg mintegy 3000 eszközt fertőzött meg, és új technikákat, például DGA-t és tartalékként beállítható C2-domaineket használ a működés fenntartására.

Közben a Zimperium bejelentette a DoubleTrouble nevű másik fejlett Android banki trójait, amely az overlay-támadásokon túl képernyőfelvételeket készít, letilt bizonyos alkalmazásokat és naplózza a billentyűleütéseket.

Ez a kártevő is az Android akadálymentesítési szolgáltatásait használja vissza a teljes eszköz feletti irányítás megszerzésére.

A címlapkép illusztráció. Címlapkép forrása: Getty Images