▲
Um novo Malware de acesso remoto, batizado de PlayPraetor, tem se espalhado e já comprometeu mais de 11 mil aparelhos. Este trojan, que funciona de forma parecida com outras ferramentas do tipo, busca assumir o controle dos dispositivos e furtar dados de acesso de aplicativos bancários e de carteiras digitais. A ameaça se espalha principalmente em sistemas Android.
O PlayPraetor é um Android RAT, ou seja, um trojan de acesso remoto para celulares Android. Ele é distribuído através de links maliciosos que chegam por SMS ou por anúncios que aparecem na plataforma Meta Ads. O controle desse malware é feito por um painel central de comando e controle, que tem origem chinesa. Pesquisadores da empresa de cibersegurança Cleafy notaram um aumento na rede de aparelhos infectados.
Eles explicaram que o crescimento, que agora ultrapassa 2 mil infecções por semana, é impulsionado por uma campanha mais intensa. Esta campanha está focada em usuários que falam espanhol e francês. Isso indica uma mudança na forma como os criminosos escolhem suas vítimas, diferente das bases de usuários anteriores. A natureza de um Malware de acesso remoto permite que os invasores operem de longe.
Para se ter uma ideia do impacto, imagine que suas informações pessoais e financeiras estivessem em risco. Casos de vazamento de dados, como o que ocorreu recentemente, reforçam a importância da vigilância online. A atenção à segurança digital é fundamental para evitar que dados sejam expostos indevidamente, como em situações onde vazamento de conversas do ChatGPT expõe dados de usuários.
Como o Malware de acesso remoto PlayPraetor atua?
A empresa CTM360 identificou o PlayPraetor pela primeira vez em março de 2025. Naquele período, ele estava sendo espalhado por milhares de páginas falsas. Essas páginas eram criadas para parecerem a loja oficial de aplicativos, a Play Store, com o objetivo de enganar os usuários. O golpe era bem planejado e abrangente.
A empresa CTM360 detalhou que os links se passavam por páginas legítimas da Play Store. Eles eram distribuídos por meio do Meta Ads e mensagens SMS, buscando atingir um grande número de pessoas. Anúncios e mensagens com conteúdo malicioso convenciam o usuário a clicar nos links, levando-os para páginas falsas. Nessas páginas, os usuários encontravam arquivos APKs infectados. É importante sempre verificar a origem de qualquer aplicativo baixado. Para entender mais sobre como plataformas se adequam a decisões, veja como Google adia mudanças na Play Store após decisão judicial nos EUA.
Assim como acontece com outros tipos de Malware de acesso remoto, os criminosos tentam convencer os usuários de que o aplicativo que estão baixando é seguro e confiável. Eles usam truques visuais e textuais para dar uma impressão de legitimidade. Isso torna ainda mais difícil para o usuário comum perceber que está prestes a ser vítima de um golpe.
Por isso, é crucial ter cautela antes de clicar em links desconhecidos ou baixar aplicativos de fontes não oficiais. A verificação da autenticidade de sites e a leitura de avaliações de outros usuários em lojas de aplicativos podem ajudar a evitar problemas. Manter o sistema operacional atualizado também contribui para a segurança, assim como as novas funcionalidades de privacidade no Android. Recentemente, houve notícias sobre Android: Nova função facilita esconder arquivos sensíveis no Private Space.
As cinco formas de atuação da campanha PlayPraetor
A campanha de disseminação do PlayPraetor se manifesta em cinco variações principais, cada uma com sua estratégia para enganar e infectar os dispositivos. Conhecer essas variações pode ajudar a identificar e se proteger de possíveis ameaças. Elas mostram a complexidade e a adaptabilidade desse tipo de ataque cibernético.
- Progressive Web App (PWA): um aplicativo web falso que cria atalhos no celular e envia notificações para forçar interações com o usuário.
- Apps WebView (Phish): um aplicativo que abre uma página de phishing, especialmente desenvolvida para roubar credenciais de acesso.
- PlayPraetor (Phantom): esta variação permite a execução persistente de código remoto no aparelho da vítima, mesmo após a tentativa de remoção.
- PlayPraetor RAT: é o trojan de acesso remoto completo, dando total controle aos criminosos sobre o dispositivo infectado.
- PlayPraetor Veil: se disfarça como uma marca ou serviço legítimo, com o objetivo de aplicar golpes de phishing e obter informações pessoais.
Quais são os alvos do PlayPraetor?
O PlayPraetor não escolhe vítimas: ele mira tanto usuários domésticos quanto corporativos. O malware oferece vantagens aos criminosos, sem distinção do perfil da vítima. Atualmente, a maioria dos casos registrados, cerca de 58%, está concentrada em Portugal, Espanha e França. Marrocos, Peru e Hong Kong também estão entre os países mais afetados por este Malware de acesso remoto.
Após ser identificado no sul da Europa e na América Latina, o PlayPraetor foi considerado uma ameaça cibernética em escala global. Sua capacidade de se espalhar rapidamente e atingir diferentes regiões do mundo acende um alerta sobre a segurança digital. A presença de grupos chineses em ataques cibernéticos não é novidade, e esse caso se soma a outros. Por exemplo, informações recentes apontaram que software da Microsoft, alvo de mega-hack em julho, tinha suporte de equipes chinesas.
Este malware é mais um exemplo de campanhas de fraude bancária que são operadas por grupos que falam chinês. Outros casos similares incluem o ToxicPanda e o SuperCard X, ambos identificados em 2024. A evolução constante dessas ameaças exige atenção contínua de usuários e empresas para proteger seus dados e sistemas. A vigilância e o uso de ferramentas de segurança são essenciais para reduzir os riscos.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
