En l’espace de quelques mois, plus de 11 000 appareils ont été compromis, avec environ 2 000 nouvelles infections chaque semaine. Depuis peu, les cybercriminels à l’origine de cette attaque semblent élargir leur champ d’action en visant directement les pays francophones et arabophones, notamment la France, l’Espagne, le Portugal, le Maroc, ainsi que d’autres pays du Maghreb et du Moyen-Orient.

PlayPraetor s’infiltre discrètement dans les téléphones via des faux sites imitant le Google Play Store, proposés aux utilisateurs par le biais de publicités trompeuses ou de messages SMS frauduleux. Une fois l'application malveillante installée, le malware active les services d’accessibilité du système Android, ce qui lui permet de prendre le contrôle quasi total du téléphone : il peut interagir avec les applications, espionner l’utilisateur, lire les messages, intercepter les frappes clavier et même diffuser en temps réel tout ce qui se passe à l’écran.

Selon les chercheurs, ce malware a été conçu pour voler des identifiants bancaires et des données sensibles en superposant de fausses pages de connexion à plus de 200 applications bancaires ou de portefeuilles de cryptomonnaies. Une fois les informations collectées, elles sont transmises à un serveur distant situé en Chine, où les données sont exploitées par des groupes organisés.

L’une des particularités inquiétantes de PlayPraetor est qu’il fonctionne selon un modèle de "Malware-as-a-Service" (MaaS). Autrement dit, des développeurs conçoivent l’outil et le proposent à la location ou à la vente à d’autres groupes criminels, ce qui accélère la diffusion mondiale du virus. Ce modèle économique permet également de cibler des populations précises avec une grande efficacité. D’après les experts de Cleafy, deux groupes majeurs se partagent à eux seuls plus de 60 % des appareils infectés, concentrant leur activité principalement sur les pays lusophones — mais avec une stratégie claire d’expansion vers les marchés hispanophones et arabophones.

Depuis sa découverte, cinq variantes de PlayPraetor ont été identifiées, dont la plus redoutable, baptisée Phantom, permet aux attaquants de réaliser des fraudes directement depuis l’appareil infecté, sans alerter l’utilisateur. Grâce à une connexion en WebSocket et un protocole RTMP, les hackers peuvent interagir en direct avec le téléphone, comme s’ils en avaient physiquement l’accès.

PlayPraetor n’est pas un simple virus de plus : c’est le signe d’un tournant dans le cybercrime mobile, où les hackers visent directement les citoyens via leurs téléphones.