La menace grandit sur les smartphones Android, et le Royaume n’est pas épargné. Un nouveau malware, baptisé PlayPraetor, a été repéré pour la première fois en mars 2025 par la société de cybersécurité CTM360, avant que des experts ne confirment sa diffusion fulgurante à l’échelle mondiale, alerte le magazine Finances News Hebdo.
En l’espace de quelques mois seulement, plus de 11.000 appareils ont déjà été compromis, avec un rythme inquiétant d’environ 2.000 nouvelles infections par semaine.
Les cybercriminels derrière cette offensive ne se contentent plus de cibler un seul marché. Ils étendent désormais leurs attaques aux pays francophones et arabophones, parmi lesquels la France, l’Espagne, le Portugal, le Royaume, ainsi que d’autres pays du Maghreb et du Moyen-Orient.
PlayPraetor ne se propage pas via le Google Play Store officiel, mais exploite une stratégie d’ingénierie sociale sophistiquée, écrit-on. Les victimes sont redirigées vers de faux sites imitant l’interface de Google Play, souvent accessibles par le biais de publicités trompeuses ou de messages SMS frauduleux.
Une fois l’application téléchargée, le malware active en arrière-plan les services d’accessibilité d’Android. Ce mécanisme lui offre un contrôle quasi-total sur l’appareil, écrit Finances News Hebdo. Il est ainsi capable d’interagir avec les applications installées, de lire les messages reçus, d’intercepter les frappes clavier et même de diffuser en temps réel tout ce qui s’affiche sur l’écran.
Cette combinaison d’actions donne aux attaquants un accès quasi illimité aux informations personnelles et aux habitudes de l’utilisateur. L’objectif de PlayPraetor est de voler des identifiants financiers. Le logiciel malveillant peut superposer de fausses pages de connexion à plus de 200 applications bancaires ou de portefeuilles de cryptomonnaies. Les informations saisies sont ensuite transmises vers un serveur distant localisé en Chine, où elles sont exploitées par des réseaux criminels organisés.
L’un des aspects les plus inquiétants de PlayPraetor réside dans son mode de fonctionnement en «Malware-as-a-Service» (MaaS). Ce modèle permet à ses concepteurs de louer ou vendre l’outil à d’autres groupes criminels. Résultat: la propagation est plus rapide, le ciblage plus précis et la menace plus difficile à contenir, ajoute le magazine.
Selon Cleafy, deux groupes majeurs concentreraient à eux seuls plus de 60% des infections, avec une base d’opération historiquement tournée vers les pays lusophones, mais qui s’étend désormais vers les marchés hispanophones et arabophones.
Depuis sa découverte, cinq variantes de PlayPraetor ont été recensées. La plus redoutable, baptisée Phantom, est capable de réaliser des transactions frauduleuses directement depuis l’appareil infecté, sans éveiller le moindre soupçon chez la victime.
Grâce à une combinaison de connexion WebSocket et de protocole RTMP, les attaquants peuvent prendre le contrôle du téléphone en direct, comme s’ils le tenaient en main.
