Un nuevo troyano de acceso remoto (RAT) para Android, conocido como PlayPraetor, ha logrado infectar más de 11,000 dispositivos en varios países, con mayor presencia en Portugal, España, Francia, Marruecos, Perú y Hong Kong.
Lo más preocupante es su ritmo de expansión: se reportan más de 2,000 nuevas infecciones cada semana. Además, los ataques están claramente dirigidos a usuarios de habla hispana y francesa, lo que sugiere un cambio en la estrategia de los ciberdelincuentes, que ahora se enfocan en regiones específicas con campañas más agresivas.
Este troyano no solo toma el control remoto del teléfono abusando de los permisos de accesibilidad, sino que también puede mostrar pantallas falsas de inicio de sesión encima de más de 200 apps bancarias y billeteras cripto. ¿La intención? Robar las credenciales y tomar el control de las cuentas de las víctimas.
Este malware se está consolidando como una amenaza global, gracias a una estructura de control avanzada y una campaña de distribución bien organizada. Este troyano de acceso remoto (RAT) opera a través de un panel C2 (comando y control) en idioma chino, diseñado para múltiples usuarios, lo que permite que varios afiliados gestionen campañas al mismo tiempo.
Este modelo de “plataforma como servicio” ha facilitado una rápida expansión del malware, especialmente en Europa y América Latina. Según datos recientes, el 58% de las infecciones se concentran en Portugal, España y Francia, seguidos de Marruecos, Perú y Hong Kong.
Además, se identificó que dos operadores principales controlan el 60% de toda la botnet, con un enfoque especial en usuarios de habla portuguesa, mientras que otros afiliados más pequeños se dirigen a víctimas que hablan español, francés y chino.
El éxito de PlayPraetor se debe en gran parte a su capacidad para abusar de los servicios de accesibilidad de Android, que le permiten tomar el control total del dispositivo en tiempo real. Con esto, los atacantes pueden ver la pantalla del usuario, simular clics, robar contraseñas y acceder a información confidencial sin que la víctima se dé cuenta.
Uno de los aspectos más preocupantes es que el malware se dirige específicamente a apps bancarias y billeteras de criptomonedas. En total, se han detectado casi 200 aplicaciones financieras en su lista de objetivos, lo que demuestra su enfoque en el robo de dinero e información financiera.
Los investigadores también descubrieron que el malware está en desarrollo activo, con nuevos comandos siendo añadidos constantemente, lo que indica que los atacantes están mejorando y adaptando su funcionamiento para mantener la efectividad de la campaña.
PlayPraetor utiliza una infraestructura C2 multiprotocolo, diseñada para ser resistente y difícil de rastrear. Entre sus capacidades destacan:
Heartbeat checks vía HTTP/HTTPS para mantener la conexión activa con el dispositivo infectado.
Comandos en tiempo real por WebSocket (puerto 8282), permitiendo acciones inmediatas desde el panel de control.
Transmisión de pantalla por RTMP (puerto 1935), lo que permite a los atacantes ver lo que ocurre en el dispositivo, en vivo.
Esta combinación hace que la botnet sea más difícil de detectar y eliminar, ya que emplea canales seguros y protocolos variados para comunicarse.
Podría interesarte leer: ¿Qué es una Botnet?: Red Zombie
En las bases de datos de amenazas, PlayPraetor fue erróneamente clasificado como parte del malware SpyNote, debido a similitudes en su infraestructura. Sin embargo, su funcionamiento, objetivos y modelo de distribución muestran que se trata de una campaña más amplia y compleja.
Originalmente, PlayPraetor comenzó como una campaña localizada de suplantación bancaria, pero ha evolucionado para convertirse en una operación global. Hasta ahora, los atacantes han usado más de 16,000 URLs falsas que imitan la Google Play Store para engañar a los usuarios y hacer que descarguen apps infectadas o entreguen sus datos personales.
El malware se distribuye bajo distintas variantes dentro de una campaña más amplia, que incluye nombres como Phish, RAT, PWA, Phantom (PlayPraetor) y Veil, cada uno con su propia técnica de ataque. La variante Phantom, también conocida como PlayPraetor, fue analizada a fondo desde abril de 2025, y se confirmó que las falsas páginas de Google Play son el principal canal de distribución.
Aunque PlayPraetor no introduce nuevas técnicas nunca antes vistas en el mundo del malware bancario para Android, su innovación está en la forma en que estructura su operación. En lugar de ser gestionado por un solo actor, se comporta más como una plataforma compartida que varios atacantes pueden usar para ejecutar campañas a gran escala.
En mayo, la actividad de esta campaña aumentó notablemente en el sur de Europa y Latinoamérica, lo que marca una expansión agresiva de su alcance y la consolidación de PlayPraetor como una de las amenazas móviles más relevantes del momento.
El panel de control del malware, que está totalmente en chino, sirve como centro de operaciones multiusuario desde el cual se gestionan dispositivos infectados y se lanzan campañas de phishing en tiempo real.
Conoce más sobre: Raven Stealer: Nuevo Malware se Propaga por Telegram y afecta Windows
Lo que hace especialmente peligrosa a la campaña PlayPraetor no es solo su capacidad técnica, sino también su modelo operativo, que permite a varios afiliados trabajar de forma independiente mientras comparten la misma infraestructura de ataque.
Cada operador puede tomar el control de dispositivos Android en tiempo real, lanzar apps de forma remota, robar datos personales y desplegar herramientas para suplantar identidades. Todo esto se gestiona desde un panel centralizado que, además, les permite crear páginas falsas muy similares a la Google Play Store, con las que engañan a los usuarios para que descarguen malware.
Uno de los puntos fuertes de esta operación es su diseño modular y personalizable, lo que facilita el despliegue rápido de campañas de phishing usando dominios preregistrados. Esto no solo acelera la distribución, sino que demuestra que estamos frente a una operación bien organizada y de nivel profesional.
PlayPraetor es una muestra clara de cómo los actores de amenazas de habla china están ganando terreno en el mundo del fraude financiero digital. Este enfoque no es nuevo: campañas recientes como ToxicPanda y Supercard X ya habían mostrado señales similares. Pero ahora, con PlayPraetor, se confirma una tendencia creciente: desarrollar vectores de ataque cada vez más sofisticados y dirigirlos contra usuarios e instituciones financieras en todo el mundo.
Aunque técnicamente PlayPraetor no introduce métodos nunca antes vistos (ya que, como muchos troyanos modernos, abusa de los servicios de accesibilidad de Android para realizar fraudes desde el dispositivo), su verdadera innovación está en la forma en que opera. En lugar de ser controlado por un solo grupo, se comporta como una plataforma de malware colaborativa, con múltiples afiliados lanzando campañas en paralelo bajo un sistema compartido.
Descarga solo apps desde Google Play y evita enlaces sospechosos.
No concedas permisos de accesibilidad si una app no lo justifica claramente.
Mantén tu Android actualizado y usa una solución antivirus confiable.
Revisa regularmente las apps instaladas y elimina cualquier software que no reconozcas.
Evita caer en sitios que imitan la Google Play Store, especialmente si llegan desde mensajes o redes sociales.
¿Quieres estar al día con las amenazas más recientes para Android y cómo protegerte? Suscríbete a nuestro TecnetBlog y mantente informado.