تروجان PlayPraetor

هکرهای چینی در یک عملیات پیچیده Malware-as-a-Service (MaaS) از تروجان PlayPraetor (RAT) برای نفوذ به بیش از ۱۱۰۰۰ دستگاه اندرویدی در سطح جهان استفاده کرده‌اند. این امر با کنترل کامل دستگاه، امکان کلاهبرداری روی دستگاه ( یا On-device fraud ODF) را فراهم می‌کند.

در این روش، هکرها صفحات فروشگاه Google Play را برای توزیع برنامه‌های مخرب خود جعل می‌کنند که این امر نشان دهنده تغییر سطح تهدیدات از محلی به یک عملیات جهانی است.
این بات‌نت که از اوایل سال ۲۰۲۵ فعال است، از یک سرور Command and Control(C2) چندزبانه استفاده می‌کند که از شرکت‌های وابسته در حملات مقیاس‌پذیر پشتیبانی می‌کند. زبان پیش فرض آن  چینی است.

این معماری به اپراتورها اجازه می‌دهد تا صفحه برنامه‌های قابل اعتمادی مانند گوگل کروم را تقلید کرده و داده‌های حساس را جمع‌آوری نمایند.

قابلیت‌های پیشرفته‌ی PlayPraetor

RAT موسوم به PlayPraetor از سرویس‌های دسترسی اندروید برای اعطای کنترل کامل دستگاه به اپراتورها استفاده می‌کند و از HTTP/HTTPS برای ضربان‌های اولیه، از پورت ۸۲۸۲ WebSocket برای دستورات دو طرفه و از طریق پورت ۱۹۳۵برای پخش زنده‌ی صفحه نمایش بوسیله پروتکل (Real-Time Messaging Protocol)RTMP استفاده می‌کند.

این RAT حملات همپوشانی را علیه نزدیک به ۲۰۰ برنامه بانکی جهانی و کیف پول‌های ارز دیجیتال انجام می‌دهد و امکان برداشت اعتبارنامه و تراکنش‌های جعلی را فراهم می‌کند.

پخش زنده صفحه نمایش، راه‌اندازی برنامه و استخراج داده‌های مخاطبین، پیامک و تصاویر صفحه نمایش از مهمترین تهدیدات PlayPraetor می باشد.

صفحات فیشینگ قابل تنظیم هستند و برای ماژولار بودن، ادغام دامنه دستی دارند. این مدل MaaS موانع ورود را کاهش می‌دهد، زنجیره کشتار را متمرکز می‌کند و کلاهبرداری جهانی را تقویت می‌کند.