HackerNews 编译,转载请注明出处:
网络安全研究人员发现名为PlayPraetor的新型安卓远程访问木马(RAT),已感染超11,000台设备,主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁及中国香港地区。Cleafy研究员团队(Simone Mattia等)在分析中指出:“僵尸网络近期每周新增感染超2,000例,其快速增长源于针对西班牙语和法语使用者的定向攻击策略,标志着攻击目标已从传统受害群体转向。”
PlayPraetor通过中文控制面板(C2)管理,其核心机制未脱离常见安卓木马模式:滥用无障碍服务获取远程控制权,并能在近200款银行应用及加密货币钱包上叠加伪造登录界面,以劫持用户账户。该木马最早由巴林公司CTM360于2025年3月曝光,其利用数千个伪造Google Play商店下载页面实施大规模欺诈活动,可窃取银行凭证、监控剪贴板内容并记录键盘输入。“假冒页面链接通过Meta广告及短信传播,诱使用户点击后下载恶意APK文件。”CTM360在报告中强调。
该行动被评估为全球协同攻击,包含五种变体:
- 渐进式网页应用(PWA):部署欺骗性网页应用钓鱼攻击(Phish):基于WebView的欺诈应用隐匿模块(Phantom):利用无障碍服务实现持久化C2控制(即PlayPraetor本体)伪装攻击(Veil):通过邀请码实施钓鱼,诱骗用户购买假冒商品远程控制(RAT):通过EagleSpy及SpyNote工具实现完全远程操控
据意大利欺诈防护公司分析,Phantom变体具备设备端欺诈(ODF)能力,由两大主要运营团伙控制约60%的僵尸网络(约4,500台设备),重点针对葡语用户。“其核心功能依赖安卓无障碍服务实现对受害设备的实时全面控制,”Cleafy指出,“这使得攻击者能直接在受害者设备上执行欺诈操作。”
木马安装后通过HTTP/HTTPS连接C2服务器,并建立WebSocket双向指令通道,同时利用实时消息传输协议(RTMP)发起设备屏幕直播。持续新增的控制指令表明该木马处于活跃开发阶段,支持全面数据窃取。近期攻击更频繁针对西班牙语及阿拉伯语使用者,标志其恶意软件即服务(MaaS)模式正加速扩张。
中文控制面板不仅用于实时操控设备,还能生成仿冒Google Play商店的定制化恶意页面(适配桌面及移动端)。“行动成功依托成熟的运营方法,采用多级分销的MaaS模式,”Cleafy表示,“该结构支持开展广泛且精准的定向攻击。”
PlayPraetor是中文威胁组织实施金融欺诈的最新工具,延续了ToxicPanda及SuperCard X等恶意软件近年的发展趋势。
关联威胁动态
- ToxicPanda升级:BitSight数据显示其已感染葡萄牙约3,000台设备(西班牙/希腊/摩洛哥/秘鲁次之)。攻击链采用TAG-1241流量分发系统(TDS),通过伪造Chrome更新提示传播。新版植入域名生成算法(DGA)增强C2韧性,新增备用C2域名设置及恶意覆盖层控制指令。DoubleTrouble浮现:Zimperium曝光的新型银行木马已突破传统覆盖攻击模式,新增屏幕录制、键盘记录及阻断特定应用启动功能。其通过Discord频道托管恶意网站传播,深度滥用无障碍服务实施欺诈。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
