Il trojan PlayPraetor rappresenta una delle minacce più recenti e aggressive nel panorama della sicurezza mobile Android, con oltre 11.000 dispositivi già compromessi a livello globale, in particolare in paesi come Portogallo, Spagna, Francia, Marocco, Perù e Hong Kong. Il successo di questa botnet è dovuto a campagne di distribuzione mirate soprattutto a utenti di lingua spagnola e francese, evidenziando una strategia che si sta evolvendo rispetto a precedenti campagne meno focalizzate geograficamente.

Funzionamento e modalità di attacco

PlayPraetor sfrutta un pannello di controllo remoto di origine cinese e abusa dei servizi di accessibilità di Android per ottenere il controllo completo del dispositivo. Tra le funzionalità più insidiose vi sono la capacità di sovrapporre false schermate di login a quasi 200 applicazioni bancarie e wallet di criptovalute, col fine di sottrarre credenziali e fondi agli utenti. Il malware è stato inizialmente documentato nel marzo 2025, quando si è osservato l’utilizzo di migliaia di pagine Google Play Store false per ingannare gli utenti e convincerli a scaricare applicazioni malevole. Queste pagine vengono promosse tramite annunci Meta e SMS che reindirizzano le vittime su domini fraudolenti, dove viene offerto il download di APK infetti.

Varianti e diffusione

PlayPraetor si presenta in cinque varianti, ciascuna con modalità di attacco differenti: da Progressive Web App ingannevoli a versioni che sfruttano WebView per phishing, fino a RAT che permettono il pieno controllo remoto del dispositivo. In particolare, la variante Phantom è stata associata a frodi su dispositivo e viene gestita principalmente da due operatori affiliati che controllano circa il 60% della botnet, concentrando le attività su target di lingua portoghese.

Comunicazione e aggiornamenti

Una volta installato, il trojan comunica con il server di comando e controllo tramite HTTP/HTTPS e WebSocket, stabilendo una connessione bidirezionale per ricevere ordini e persino trasmettere uno streaming video dal dispositivo infetto. L’architettura di PlayPraetor viene costantemente aggiornata per includere nuovi comandi e potenziarne le capacità di furto dati. Recentemente, le campagne di diffusione si stanno espandendo anche verso utenti arabi e spagnoli, a testimonianza di un’offerta di malware-as-a-service sempre più globale e strutturata su modello multi-affiliato.

Tendenze nel panorama delle minacce

PlayPraetor si inserisce in una tendenza più ampia che vede attori di lingua cinese sviluppare minacce finanziarie per Android, come dimostrato anche dai casi di ToxicPanda e SuperCard X. Queste minacce utilizzano tecniche sofisticate di social engineering, phishing, falsi aggiornamenti e sistemi di distribuzione del traffico per colpire in modo mirato e difficile da contrastare.