Actores de amenazas de habla china han desarrollado una sofisticada operación de malware como servicio que ha comprometido más de 11,000 dispositivos Android a nivel global. La operación utiliza un potente troyano de acceso remoto llamado PlayPraetor, diseñado para cometer fraude en dispositivos.
Estrategia y alcance de la campaña
- Infección masiva: La campaña está creciendo rápidamente, con más de 2,000 nuevas infecciones por semana, lo que la convierte en una de las operaciones de malware bancario móvil más significativas hasta la fecha.
- Método de distribución: El malware se distribuye disfrazándose de aplicaciones legítimas de Google Play Store para engañar a las víctimas. Una vez instalado, aprovecha los Servicios de Accesibilidad de Android para tomar el control total del dispositivo.
- Objetivos: La operación se dirige a cerca de 200 aplicaciones bancarias y de criptomonedas a nivel mundial, lo que demuestra la magnitud de su capacidad para el fraude financiero.
- Alcance geográfico: La campaña está enfocada estratégicamente, con el mayor impacto en Europa (58%), especialmente en Portugal, España y Francia. También tiene una presencia significativa en África (22%), América (12%) y Asia (8%), con puntos críticos en Marruecos, Perú y Hong Kong, respectivamente.
- Tasa de éxito: Del total de dispositivos infectados, un 72% ha activado los Servicios de Accesibilidad, lo que permite a los operadores el control total para realizar transacciones fraudulentas.
Arquitectura técnica del malware
El malware PlayPraetor utiliza una arquitectura de comunicación de tres niveles para mantener un control persistente sobre los dispositivos infectados:
- Canales de comunicación: Emplea protocolos HTTP/HTTPS para iniciar el contacto y establecer una conexión. Una vez conectado, activa dos canales especializados:
- Una conexión WebSocket bidireccional para enviar comandos en tiempo real.
- Un canal de transmisión RTMP que permite a los atacantes ver la pantalla del dispositivo en vivo.
- Extracción de datos: El malware utiliza puntos de conexión HTTP dedicados para robar información personal y financiera, como huellas digitales del dispositivo, contactos, mensajes de texto y credenciales de tarjetas de crédito.
- Panel de control: La operación es gestionada a través de un sofisticado panel de control en idioma chino, con una arquitectura multiusuario que permite la gestión independiente de afiliados bajo una infraestructura centralizada, lo que evidencia la profesionalidad de esta empresa criminal.
