Le malware PlayPraetor menace les smartphones Android au Maroc et à travers le monde. Par des techniques d'ingénierie sociale avancées, il dérobe des données financières en prenant le contrôle des appareils. Son modèle « Malware-as-a-Service » facilite sa propagation, rendant la lutte contre cette menace très complexe. La sécurité des terminaux Android est gravement mise à l'épreuve avec l'apparition d'un nouveau malware sophistiqué, nommé « PlayPraetor ». Identifié initialement en mars 2025 par la société spécialisée en cybersécurité CTM360, ce logiciel malveillant s'est rapidement propagé à l'échelle mondiale, touchant notamment le Maroc, selon Finances News Hebdo. En l'espace de quelques mois, plus de 11.000 dispositifs ont été infectés, avec une progression alarmante de près de 2.000 nouveaux cas par semaine. Cette propagation rapide souligne la virulence de cette campagne malveillante qui dépasse désormais les frontières traditionnelles. Lire aussi : La cybersécurité industrielle sous tension, le Maroc en ligne de mire Les acteurs malveillants ont élargi leur champ d'action, s'attaquant aux marchés francophones, hispanophones, lusophones et arabophones, incluant la France, l'Espagne, le Portugal, le Maroc ainsi que plusieurs pays du Maghreb et du Moyen-Orient. Contrairement aux infections classiques par des applications issues du Google Play Store officiel, PlayPraetor exploite une technique d'ingénierie sociale avancée. Les utilisateurs sont redirigés vers des sites contrefaits mimant parfaitement l'interface officielle du Play Store, souvent via des publicités frauduleuses ou des SMS de phishing. Après installation, le malware active en arrière-plan les services d'accessibilité d'Android, lui conférant un contrôle étendu sur le terminal. Cette fonctionnalité lui permet d'interagir avec les applications installées, d'accéder aux messages entrants, d'enregistrer les frappes au clavier, et même de capturer en temps réel les informations affichées à l'écran. Cette combinaison d'aptitudes offre aux cybercriminels un accès quasi illimité aux données sensibles et aux comportements utilisateurs. PlayPraetor cible spécifiquement le vol de données d'authentification financière, en superposant des interfaces de phishing sur plus de 200 applications bancaires et portefeuilles de cryptomonnaies. Les informations collectées sont exfiltrées vers des serveurs distants localisés en Chine, où elles sont exploitées par des réseaux criminels sophistiqués. Un aspect préoccupant de ce malware est son modèle « Malware-as-a-Service » (MaaS). Cette approche commerciale permet aux développeurs de louer ou vendre l'outil à d'autres groupes de cybercriminels, accélérant ainsi la diffusion, affinant le ciblage et complexifiant la lutte contre ces attaques. D'après Cleafy, entreprise italienne spécialisée dans la prévention proactive de la fraude en ligne, deux groupes majeurs concentrent plus de 60 % des infections, initialement actifs sur les marchés lusophones, mais désormais étendus aux espaces hispanophones et arabophones. Depuis son émergence, cinq variantes de PlayPraetor ont été identifiées. La plus redoutable, nommée Phantom, est capable d'exécuter des transactions frauduleuses directement depuis l'appareil infecté, sans éveiller la méfiance de l'utilisateur. En s'appuyant sur une combinaison de protocoles WebSocket et RTMP, les attaquants peuvent prendre le contrôle à distance du smartphone en temps réel, opérant comme s'ils le manipulaient physiquement. Dans ce contexte, la sensibilisation des utilisateurs et le renforcement des mesures de cybersécurité sont essentiels pour endiguer cette menace évolutive.
