サイバーセキュリティ研究者は2025年8月4日、PlayPraetorという新たなAndroidリモートアクセス型トロイの木馬(RAT)が11,000台以上のデバイスを感染させたと発表した。感染地域はポルトガル、スペイン、フランス、モロッコ、ペルー、香港が中心である。イタリアの詐欺防止企業Cleafyが報告し、研究者はSimone Mattia氏、Alessandro Strino氏、Federico Valentini氏が担当した。ボットネットは毎週2,000件を超える新規感染という成長率を記録している。
PlayPraetorは中国語で運用されるコマンド&コントロールパネルによって管理され、約200の銀行アプリと暗号資産ウォレットを標的とする。バーレーンのCTM360が2025年3月に初回報告し、数千の偽Google Play Storeページを使用した大規模詐欺キャンペーンを詳述した。Meta広告とSMSメッセージを通じて偽サイトへ誘導する手法を用いる。
同時期に関連マルウェアとして、ToxicPandaがポルトガルで約3,000台を感染させ、ZimperiumがDoubleTroubleという新たなAndroidバンキングトロイの木馬を報告している。これらはいずれも中国系脅威アクターによる金融詐欺を目的としている。
From:
PlayPraetor Android Trojan Infects 11,000+ Devices via Fake Google Play Pages and Meta Ads
【編集部解説】
この事案が示すのは、現代のサイバー犯罪が単発的な攻撃から組織化されたビジネスモデルへと進化している現実です。PlayPraetorが採用する「マルウェア・アズ・ア・サービス」(MaaS)は、まさにSaaSビジネスのサイバー犯罪版と言えるでしょう。
運用構造を詳しく見ると、中国語のコマンド&コントロールパネルを中心に、多数のアフィリエイトが独立して活動する仕組みが構築されています。これは犯罪組織の専門分化を意味しており、マルウェア開発者、配布担当者、実際の攻撃実行者が分業体制を築いているのです。
技術的な脅威の本質は、Androidのアクセシビリティサービスの悪用にあります。このサービスは本来、障害を持つユーザーのためのUI支援機能ですが、一度許可されるとアプリの垣根を越えて他のアプリを監視・操作できる強力な権限を得ます。
PlayPraetorは3つの通信プロトコルを巧妙に使い分けています。HTTP/HTTPSでの接続確立、WebSocketでのリアルタイム制御、そしてRTMPによる画面のライブ配信です。この多重化された通信手法により、テイクダウン対策と継続的な監視を実現しています。
地理的な拡散パターンも注目すべき点です。当初はポルトガル語圏を中心としていた攻撃が、スペイン語・フランス語話者、さらにはアラビア語話者へと拡大している。これは単なる地理的拡散ではなく、言語圏ごとの文化的・経済的特性を踏まえた戦略的なターゲティングの表れです。
影響範囲の深刻さは、週2,000件という感染ペースからも明らかです。約200のバンキングアプリと暗号資産ウォレットが標的となっており、個人の金融資産だけでなく、金融システム全体への信頼性にも影響を与えかねません。
この事案が浮き彫りにするのは、現在のモバイルセキュリティの構造的課題です。Googleは2023年のAndroid 13で「制限設定」機能を導入し、サイドローディングされたアプリのアクセシビリティ権限取得を制限しましたが、最新のマルウェアはこの対策を既に回避しています。
長期的な視点で見ると、この種の組織化されたサイバー犯罪の台頭は、モバイルセキュリティ分野における根本的なパラダイムシフトを促す可能性があります。従来の個別アプリ防御から、システム全体を俯瞰した統合防御アプローチへの転換が急務となるでしょう。
また、MaaSモデルの成功は他の犯罪領域への波及効果も懸念されます。技術的な参入障壁が下がることで、これまで高度な技術を持たなかった犯罪者も容易にサイバー攻撃を実行できるようになってしまうのです。
【用語解説】
RAT(Remote Access Trojan)
リモートアクセス型トロイの木馬。感染したデバイスを遠隔操作できるマルウェアの一種である。
アクセシビリティサービス
Android端末で視覚障害者など身体的制約のあるユーザーを支援するためのシステム機能。正当な目的で開発されたが、マルウェアが悪用すると他のアプリを監視・操作する強力な権限を得られる。
オーバーレイ攻撃
正規のアプリ画面の上に偽の画面を重ね表示し、ユーザーの認証情報を盗む攻撃手法である。
MaaS(Malware-as-a-Service)
マルウェアをサービスとして提供するサイバー犯罪のビジネスモデル。開発者が作成したマルウェアを他の犯罪者にレンタルまたは販売する形態である。
C2(Command and Control)
マルウェアが感染したデバイスと通信するためのサーバーまたはシステム。攻撃者がマルウェアに指令を送信し、盗んだデータを受信する拠点として機能する。
ODF(On-Device Fraud)
デバイス上で直接実行される不正行為。従来のサーバー経由の詐欺と異なり、感染デバイス上でリアルタイムに不正操作を行う手法である。
DGA(Domain Generation Algorithm)
マルウェアが通信先のドメインを動的に生成するアルゴリズム。セキュリティ対策によるドメイン封鎖を回避するために使用される。
【参考リンク】
Cleafy(外部)
イタリアのフィンテックセキュリティ企業。オンライン詐欺の検知・防止に特化したFxDRプラットフォームを提供
CTM360(外部)
バーレーンを拠点とするサイバーセキュリティ企業。デジタルリスクプロテクション、脅威インテリジェンスサービスを提供
Zimperium(外部)
モバイルセキュリティに特化したアメリカのサイバーセキュリティ企業。Android・iOSデバイスの脅威検知・防御ソリューションを開発
The Hacker News(外部)
2010年創設のサイバーセキュリティ専門ニュースメディア。最新の脅威情報、セキュリティ研究、業界動向を配信
【参考記事】
PlayPraetor’s evolving threat: How Chinese-speaking actors globally scale an Android RAT(外部)
Cleafyによる詳細なPlayPraetorマルウェア分析レポート。5つのバリアント、感染手法、攻撃者の運用手法について技術的分析を提供
PlayPraetor Trojan Malware Report | Fake Google Play Store Scam(外部)
CTM360による初回報告書。PlayPraetorの発見から詐欺キャンペーンの仕組み、偽Google Playストアを使った配布手法を詳述
PlayPraetor Android RAT expands rapidly across Spanish and French speaking regions(外部)
Security Affairsによる地理的拡散に焦点を当てた分析記事。言語圏別の感染状況と攻撃手法の変化について報告
Remote Access Trojan (RAT)(外部)
ZimperiumによるRAT(リモートアクセストロイの木馬)の技術解説。RAT全般の動作原理と対策について基礎的な説明を提供
Accessibility Service Malware – Guardsquare(外部)
Guardsquareによるアクセシビリティサービス悪用マルウェアの解説記事。Android端末における権限悪用の仕組みを技術的に分析
【編集部後記】
皆さんは普段、Androidスマートフォンでどの程度セキュリティを意識されていますか?今回のPlayPraetorのような高度なマルウェアが週2,000件ものペースで感染を拡大している現実を見ると、従来の「怪しいアプリは避ける」程度の対策では不十分かもしれません。
特に、アクセシビリティサービスの許可について、どのような基準で判断されているでしょうか。また、Meta広告やSMSから誘導される偽のGoogle Playページを見抜く自信はありますか?
私たちinnovaTopiaも完璧な答えを持っているわけではありませんが、こうした新しい脅威について皆さんと一緒に考え、情報を共有していければと思います。皆さんのセキュリティ対策や、気になる点があれば、ぜひSNSで教えてください。
