Malware PlayPraetor infeta mais de 11 mil dispositivos Android e avança na Europa

Um novo trojan de acesso remoto, denominado PlayPraetor, comprometeu mais de 11 000 dispositivos Android desde que foi detetado pela primeira vez, em março de 2025. A ameaça foi identificada por especialistas da CTM360 e da Cleafy, que destacam a rápida expansão do malware graças a uma campanha que combina SMS fraudulentos e anúncios no Meta Ads.

Método de disseminação recorre a SMS e anúncios patrocinados

O PlayPraetor chega aos utilizadores através de links maliciosos que simulam páginas da Google Play Store. Esses endereços são divulgados em mensagens SMS e em anúncios patrocinados, conduzindo a ficheiros APK infetados. Depois de instalado, o trojan estabelece ligação a um servidor command-and-control (C2) de origem chinesa, possibilitando aos atacantes executar comandos em tempo real, recolher dados e assumir controlo total do equipamento.

Segundo a Cleafy, a rede de dispositivos comprometidos cresce a um ritmo superior a 2 000 novas infeções por semana. A campanha atual privilegia utilizadores que falam espanhol e francês, o que representa uma mudança face a alvos anteriores e explica a concentração de casos em determinados países europeus.

Cinco variantes adaptam-se a diferentes cenários de ataque

A investigação identificou cinco variantes associadas ao PlayPraetor, cada uma concebida para aumentar a eficácia da campanha:

Progressive Web App (PWA) — cria atalhos no ecrã inicial e envia notificações para incentivar a interação do utilizador;
Apps WebView (Phish) — abre páginas de phishing destinadas a capturar credenciais;
PlayPraetor Phantom — garante execução persistente de código remoto no dispositivo;
PlayPraetor RAT — versão completa do trojan de acesso remoto, permitindo total controlo do sistema operativo;
PlayPraetor Veil — disfarça-se de aplicação legítima para contornar mecanismos de segurança e executar ataques de phishing.

Embora apresentem diferenças técnicas, todas as variantes partilham o objetivo de roubar dados bancários, credenciais de carteiras digitais e informação sensível armazenada no smartphone.

Portugal entre os países mais visados pela operação

Dados compilados pelas equipas de cibersegurança indicam que 58 % das infeções registadas se concentram em Portugal, Espanha e França. Marrocos, Peru e Hong Kong também surgem entre as regiões mais afetadas. Os investigadores classificam o PlayPraetor como uma ameaça global, sublinhando que tanto utilizadores domésticos como organizações se encontram em risco.

O modelo de distribuição baseado em anúncios e SMS permite atingir audiências muito distintas. Para utilizadores particulares, o prejuízo centra-se no acesso a contas bancárias e carteiras digitais; em contexto corporativo, abre-se a porta a exfiltração de dados, instalação de spyware adicional e eventual movimentação lateral em redes internas.

Tática semelhante a outras campanhas de origem chinesa

Especialistas em cibersegurança referem que o PlayPraetor apresenta uma estrutura comparável à de outras operações conduzidas por grupos de língua chinesa, nomeadamente o ToxicPanda e o SuperCard X, detetados em 2024. O controlo centralizado através de um painel C2 e a utilização de múltiplas variantes demonstram um grau de profissionalização alinhado com essas campanhas anteriores.

A existência de várias vertentes, aliada à persistência do código malicioso, torna a remoção do PlayPraetor particularmente desafiante. Em muitos casos, o trojan obtém permissões de acessibilidade para se reinstalar após tentativas de eliminação, mantendo-se ativo e executando comandos remotos sempre que o dispositivo está ligado à Internet.

Impacto e perspetivas

Com mais de 11 000 equipamentos afetados e um ritmo de propagação que ultrapassa 2 000 novos casos por semana, o PlayPraetor representa uma das campanhas Android mais significativas de 2025. A prevalência nos mercados lusófono e francófono reflete a segmentação da campanha e sublinha a necessidade de vigilância redobrada em Portugal.

As empresas de segurança recomendam a instalação exclusiva de aplicações provenientes da Play Store oficial, a verificação cuidadosa de permissões solicitadas pelos apps e o bloqueio de fontes desconhecidas. Embora medidas de mitigação estejam em desenvolvimento, os investigadores sublinham que a principal defesa continua a ser a prevenção da instalação inicial dos APK infetados.

Imagem: tecmundo.com.br