サイバーセキュリティ研究者は、PlayPraetorと呼ばれる新たなAndroidリモートアクセス型トロイの木馬(RAT)を発見しました。このマルウェアは、主にポルトガル、スペイン、フランス、モロッコ、ペルー、香港を中心に、11,000台以上のデバイスに感染しています。
「このボットネットは急速に拡大しており、現在は週に2,000件以上の新規感染が発生しています。スペイン語およびフランス語話者を中心とした積極的なキャンペーンが、その成長を後押ししており、従来の被害者層からの戦略的な転換が示唆されます」とCleafyの研究者Simone Mattia、Alessandro Strino、Federico Valentiniは、このマルウェアの分析で述べています。
PlayPraetorは中国のコマンド&コントロール(C2)パネルによって管理されており、他のAndroidトロイの木馬とは大きく異なり、アクセシビリティサービスを悪用してリモートコントロールを獲得し、約200種類の銀行アプリや暗号通貨ウォレットの上に偽のオーバーレイログイン画面を表示して、被害者のアカウント乗っ取りを試みます。
PlayPraetorは2025年3月にCTM360によって初めて報告され、数千の偽Google Playストアのダウンロードページを利用して、銀行認証情報の窃取、クリップボードの監視、キーストロークの記録などを行う大規模な詐欺キャンペーンの実態が明らかにされました。
「偽装されたPlayストアページへのリンクは、Meta広告やSMSメッセージを通じて広範囲に配布されています」とバーレーン拠点の同社は当時指摘しています。「これらの巧妙な広告やメッセージは、ユーザーをリンククリックへと誘導し、悪意あるAPKがホスティングされた詐欺ドメインへと導きます。」
世界規模で調整されたオペレーションと考えられるPlayPraetorは、5つの異なるバリアントが存在し、偽のプログレッシブウェブアプリ(PWA)やWebViewベースのアプリ(Phish)、アクセシビリティサービスを悪用した持続的なC2(Phantom)、招待コードを利用したフィッシングや偽製品の購入誘導(Veil)、EagleSpyやSpyNote(RAT)による完全なリモートコントロールなどを実現します。
イタリアの不正防止企業によると、PlayPraetorのPhantomバリアントは、オンデバイス詐欺(ODF)が可能であり、2つの主要なアフィリエイトオペレーターがボットネットの約60%(約4,500台の感染デバイス)を支配し、ポルトガル語話者を主な標的としているようです。
「その中核機能は、Androidのアクセシビリティサービスを悪用して、感染デバイスへの広範かつリアルタイムな制御を得ることに依存しています」とCleafyは述べています。「これにより、オペレーターは被害者のデバイス上で直接不正行為を実行できます。」
 |
| 画像出典:CTM360 |
インストールされると、マルウェアはHTTP/HTTPS経由でC2サーバーにビーコンを送信し、WebSocket接続を利用してコマンド発行のための双方向チャネルを確立します。また、感染デバイスの画面をビデオライブ配信するために、リアルタイムメッセージングプロトコル(RTMP)接続も設定します。
サポートされるコマンドが進化し続けていることから、PlayPraetorは運用者によって積極的に開発されており、包括的なデータ窃取が可能です。ここ数週間、マルウェア配布攻撃はスペイン語およびアラビア語話者をますます標的にしており、マルウェア・アズ・ア・サービス(MaaS)の提供範囲が拡大していることを示しています。
C2パネルは、リアルタイムで感染デバイスと積極的にやり取りするだけでなく、デスクトップおよびモバイルデバイス上でGoogle Playストアを模倣したカスタムマルウェア配布ページの作成も可能にします。
「このキャンペーンの成功は、確立された運用手法と、複数アフィリエイトによるMaaSモデルの活用に基づいています」とCleafyは述べています。「この構造により、広範かつ高度にターゲットを絞ったキャンペーンが可能となっています。」
PlayPraetorは、中国語話者の脅威アクターによる最新のマルウェアであり、金融詐欺を目的としています。これは、過去1年間に登場したToxicPandaやSuperCard Xの出現にも見られる傾向です。
ToxicPandaの進化#
Bitsightのデータによると、ToxicPandaはポルトガルで約3,000台のAndroidデバイスに感染し、次いでスペイン、ギリシャ、モロッコ、ペルーが続いています。マルウェア配布キャンペーンでは、TAG-1241というトラフィック配信システム(TDS)が利用され、ClickFixや偽のGoogle Chromeアップデート誘導が使われています。
「この巧妙に設計されたリダイレクトは、TDSの設計の一部であり、選択されたターゲットのみがこれらの悪意あるエンドポイントに誘導されることを保証します」とセキュリティ研究者Pedro Faléは、先週のレポートで述べています。
ToxicPandaの最新バージョンは、C2確立とインフラ撤去への耐性強化のためにドメイン生成アルゴリズム(DGA)を組み込むなど、従来よりも改良されています。また、フォールバック用C2ドメインの設定や、悪意あるオーバーレイの制御強化などの新たなコマンドも追加されています。
DoubleTroubleの台頭#
この調査結果は、ZimperiumがDoubleTroubleと呼ばれるもう一つの高度なAndroidバンキングトロイの木馬を明らかにしたことを受けたものです。DoubleTroubleは、オーバーレイ攻撃を超えて、デバイス画面の録画、キーストロークの記録、さまざまなコマンドによるデータ流出やデバイス制御の強化を実現しています。
DoubleTroubleは、Androidのアクセシビリティサービスの悪用に大きく依存して不正行為を行うだけでなく、Discordチャンネル内に直接マルウェアサンプルをホストする偽のウェブサイトを活用した配布戦略も特徴です。
「新機能には、PINコードやロックパターンを盗むための悪意あるUIオーバーレイの表示、包括的な画面録画機能、特定アプリの起動ブロック機能、高度なキーロギング機能などが含まれます」とZimperium zLabsの研究者Vishnu Madhavは述べています。
翻訳元: https://thehackernews.com/2025/08/playpraetor-android-trojan-infects.html