El ecosistema Android afronta una campaña de malware especialmente agresiva: el troyano chino PlayPraetor ha logrado infiltrarse en miles de teléfonos y se expande a toda velocidad a través de anuncios en redes sociales y portales que copian la apariencia de Google Play. Investigadores independientes han documentado una operación coordinada y profesionalizada que prioriza el fraude financiero desde el propio dispositivo.
Los datos recopilados apuntan a más de 11.000 móviles comprometidos y a un ritmo de propagación que supera las 2.000 nuevas infecciones por semana. La campaña se dirige con especial intensidad a usuarios de España, Portugal y Francia, aunque también se observan focos en Marruecos, Perú y Hong Kong, dentro de un modelo de malware-as-a-service operado por actores de habla china.
Qué es PlayPraetor y cómo actúa
PlayPraetor es una RAT (troyano de acceso remoto) para Android que aprovecha los servicios de accesibilidad para tomar el control del teléfono como si fuera el propio usuario. Con esa vía, los operadores pueden abrir aplicaciones, leer mensajes, autorizar operaciones y cambiar ajustes sin que la víctima lo perciba.
El troyano despliega pantallas superpuestas (overlays) que imitan la interfaz de cerca de 200 apps bancarias y monederos cripto. Al introducir credenciales o códigos, el malware los captura en tiempo real y ejecuta fraude en el dispositivo (ODF) directamente desde el móvil comprometido.
Además de robar datos, los operadores tienen la capacidad de grabar la pantalla en directo, monitorizar el portapapeles, interceptar pulsaciones y mantener sesiones de control prolongadas, lo que facilita transacciones no autorizadas y movimientos encubiertos de fondos.
Arquitectura y capacidades técnicas
La comunicación del malware se articula en varios niveles para garantizar persistencia y resiliencia. Primero establece contacto por HTTP/HTTPS con dominios de mando y control, realizando consultas iterativas a rutas de identificación y búsqueda de paquetes antes de activar canales en tiempo real.
Una vez verificada la conexión, mantiene un WebSocket persistente sobre el puerto 8282 para la ejecución bidireccional de órdenes, y utiliza una transmisión RTMP en el puerto 1935 para visualizar la pantalla del dispositivo mientras se ejecutan acciones remotas.
El panel de control acepta comandos para actualizar configuración, registrar campañas, gestionar superposiciones, definir aplicaciones objetivo, sostener latidos de conexión y despachar subórdenes especializadas. La exfiltración se realiza mediante endpoints dedicados que envían huella del dispositivo, contactos, SMS y claves o PIN de tarjetas a rutas de API específicas del servidor C2.
Variantes y ecosistema criminal
PlayPraetor no es una pieza única, sino una familia con cinco variantes principales diseñadas para tareas diferentes dentro de la operación:
- PWA: instala supuestas aplicaciones web progresivas que simulan utilidades legítimas para atraer a la víctima.
- Phish: utiliza componentes WebView para formularios de suplantación y robo de datos.
- Phantom: explota accesibilidad para fraude automatizado y persistencia con el C2.
- Veil: se apoya en códigos de invitación y campañas de venta falsas para distribuir APK maliciosos.
- RAT: integra herramientas de control remoto conocidas para espionaje y manejo total del terminal.
La operación funciona como servicio para afiliados (MaaS) con un panel de administración en idioma chino y arquitectura multiinquilino. En uno de los conjuntos analizados, dos operadores llegaron a agrupar cerca del 60% de los dispositivos bajo su control (en torno a 4.500), con campañas que muestran un interés notable por usuarios lusófonos además de los de habla española y francesa.
Distribución y alcance
El éxito de la campaña se apoya en ingeniería social. Los atacantes compran anuncios en Facebook e Instagram, envían SMS con enlaces y conducen a las víctimas a sitios que imitan Google Play para que descarguen APK fraudulentos fuera de la tienda oficial. Si quieres conocer más sobre cómo protegerte, también puedes consultar consejos de ciberseguridad para hogares vulnerables.
Tras la instalación, el malware solicita accesibilidad y, según las cifras observadas, cerca del 72% de los afectados activa ese permiso, momento en el que el dispositivo queda esencialmente bajo control del operador.
El mapa de infecciones muestra que Europa concentra el impacto con alrededor del 58% de los casos, especialmente en Portugal, España y Francia. También se mantienen focos relevantes en Marruecos, Perú y Hong Kong, con campañas localizadas y contenidos en varios idiomas para maximizar la conversión.
Medidas de protección recomendadas
Evita instalar aplicaciones fuera de Google Play u orígenes oficiales. Desconfía de enlaces en SMS, redes sociales o correos que prometen descuentos, sorteos o apps “premium”.
Revisa y limita los permisos de accesibilidad y otros permisos sensibles de tus apps; si notas comportamientos extraños, desinstala y escanea con soluciones reputadas. Para entender cómo funciona el control remoto en estos ataques, mira nuestro análisis en ciberseguridad postcuántica.
Mantén Android y tus aplicaciones actualizados para cerrar vulnerabilidades, y activa la verificación en dos pasos en banca, cripto y servicios críticos.
Ante cualquier indicio (superposiciones sospechosas, apps que piden accesibilidad sin motivo, consumo anómalo), corta datos, cambia contraseñas desde un equipo limpio y contacta con tu banco para bloquear operaciones.
PlayPraetor ilustra cómo un troyano móvil operado desde infraestructuras chinas, con módulos para fraude y control remoto, puede escalar en cuestión de semanas combinando ingeniería social, permisos de accesibilidad y una arquitectura C2 robusta, afectando a miles de usuarios de Android en distintos países.
