Các tác nhân đe dọa nói tiếng Trung đã triển khai mã độc truy cập từ xa (RAT) mang tên PlayPraetor RAT để xâm nhập hơn 11.000 thiết bị Android trên toàn cầu. Đây là một chiến dịch Malware-as-a-Service (MaaS) tinh vi, cho phép thực hiện gian lận trên thiết bị (ODF) thông qua việc kiểm soát thiết bị theo thời gian thực.
Chiến dịch này lần đầu tiên được Cleafy Threat Intelligence điều tra vào tháng 6 năm 2025. Hoạt động này mạo danh các trang Google Play Store hợp pháp để phát tán ứng dụng độc hại, đánh dấu sự chuyển đổi từ các mối đe dọa cục bộ sang một chiến dịch toàn cầu.
Kiến trúc và Hoạt động Tấn Công Mạng của PlayPraetor RAT
Botnet PlayPraetor RAT đã hoạt động từ đầu năm 2025. Nó tận dụng một bảng điều khiển Command and Control (C2) đa người thuê bằng tiếng Trung Quốc, hỗ trợ các đối tác (affiliates) mở rộng quy mô tấn công.
Kiến trúc này tạo điều kiện thuận lợi cho việc tự động tạo các trang phân phối mã độc tùy chỉnh. Điều này cho phép các nhà khai thác bắt chước các ứng dụng đáng tin cậy như Google Chrome và thu thập dữ liệu nhạy cảm.
Phân Bố Địa Lý và Mục Tiêu
Châu Âu chịu ảnh hưởng nặng nề nhất với 58% số ca lây nhiễm, tập trung tại Bồ Đào Nha, Tây Ban Nha và Pháp. Các điểm nóng đáng kể khác xuất hiện ở Maroc (Châu Phi), Peru (Mỹ Latinh) và Hồng Kông (Châu Á).
Mỗi tuần, hoạt động của PlayPraetor RAT tăng thêm hơn 2.000 ca lây nhiễm mới. Sự tăng trưởng này được thúc đẩy bởi việc nhắm mục tiêu tích cực vào những người nói tiếng Tây Ban Nha và Pháp, cho thấy sự chuyển hướng từ các nạn nhân nói tiếng Bồ Đào Nha truyền thống.
Cơ Chế Khai Thác và Giao Tiếp
PlayPraetor RAT khai thác các Dịch vụ Trợ năng (Accessibility Services) của Android để cấp quyền kiểm soát hoàn toàn thiết bị cho các nhà khai thác. Nó sử dụng HTTP/HTTPS cho các tín hiệu “heartbeat” ban đầu, WebSocket cho các lệnh hai chiều qua cổng 8282, và RTMP để truyền phát màn hình theo thời gian thực qua cổng 1935.
Các Lệnh Điều Khiển và Đường Dẫn Rò Rỉ Dữ Liệu
Các lệnh chính của PlayPraetor RAT bao gồm:
update: Để thay đổi cấu hình.init: Để đăng ký thiết bị.report_list: Để giám sát các ứng dụng được nhắm mục tiêu.
Các đường dẫn rò rỉ dữ liệu (exfiltration paths) được ghi nhận:
/app/saveDevice: Dùng để lấy dấu vân tay thiết bị (device fingerprinting)./app/saveCardPwd: Dùng để đánh cắp thông tin đăng nhập ngân hàng.
Phân tích cho thấy sự phát triển liên tục của PlayPraetor RAT. Các mẫu tháng 6 năm 2025 cho thấy các lệnh phụ đã được sắp xếp hợp lý, giảm từ 55 xuống còn 52 lệnh. Các tính năng mới như add_volumes và card_unlock cũng đã được giới thiệu để tăng cường khả năng kiểm soát.
RAT này triển khai các cuộc tấn công phủ màn hình (overlay attacks) chống lại gần 200 ứng dụng ngân hàng và ví tiền điện tử toàn cầu, cho phép thu thập thông tin đăng nhập và thực hiện các giao dịch gian lận.
Mô Hình MaaS và Mở Rộng Chiến Lược
Các đối tác của PlayPraetor RAT, do hai nhà khai thác chính chiếm 60% botnet chi phối, chuyên về các đặc điểm nhân khẩu học ngôn ngữ. Một nhà khai thác tập trung 75% vào người dùng Bồ Đào Nha, trong khi những người khác nhắm mục tiêu vào tiếng Tây Ban Nha (90% đối với một số nhóm), tiếng Pháp, tiếng Ả Rập và các nhóm đa dạng hơn.
Xu hướng theo thời gian cho thấy sự tăng trưởng theo cấp số nhân trong các ca nhiễm tiếng Tây Ban Nha, sự giảm tốc trong tiếng Bồ Đào Nha, và sự gia tăng đột biến trong tiếng Pháp và tiếng Ả Rập. Điều này báo hiệu sự mở rộng chiến lược vào các khu vực mới như Mỹ Latinh và các khu vực nói tiếng Pháp.
Tính Năng Bảng Điều Khiển C2
Thiết kế đa người thuê của bảng điều khiển C2 tách biệt môi trường của các đối tác, cung cấp các công cụ tương tác thiết bị theo thời gian thực, bao gồm:
- Truyền phát màn hình.
- Khởi chạy ứng dụng.
- Rò rỉ dữ liệu danh bạ, tin nhắn SMS và ảnh chụp màn hình.
Các trang lừa đảo (phishing pages) có thể tùy chỉnh, với khả năng tích hợp tên miền thủ công để tăng tính mô-đun. Mô hình MaaS này giúp giảm rào cản gia nhập, tập trung hóa chuỗi tấn công (kill chain) và thúc đẩy gian lận toàn cầu.
Theo báo cáo của Cleafy “PlayPraetor’s Evolving Threat: How Chinese-Speaking Actors Globally Scale an Android RAT”, PlayPraetor RAT phù hợp với xu hướng từ các tác nhân đe dọa Trung Quốc, tương tự như ToxicPanda và Supercard X. Hoạt động này nhấn mạnh ODF có thể mở rộng không phải thông qua các kỹ thuật mới lạ mà thông qua đổi mới hoạt động.
Với tỷ lệ kích hoạt 72%, mang lại gần 8.000 thiết bị được kiểm soát hoàn toàn, mối đe dọa này làm tăng rủi ro đối với các tổ chức tài chính. Báo cáo TLP:WHITE của Cleafy, được suy ra từ phiên bản TLP:AMBER đã chia sẻ với CERTs và LEAs, nhấn mạnh sự thích nghi liên tục của RAT để né tránh và tăng cường chức năng, định vị PlayPraetor RAT như một nguy cơ năng động đối với hệ sinh thái tài chính.
