أعلن باحثون في مجال الأمن السيبراني عن برنامج خبيث جديد لنظام أندرويد يُدعى "فانتازي هب"، ويتم توزيعه كخدمة اشتراك للمجرمين. وهو معروض للبيع على قنوات تيليجرام الناطقة بالروسية وفق نموذج "البرمجيات الخبيثة كخدمة" (MaaS).
بحسب التقارير، يحوّل هذا البرنامج الخبيث أي تطبيق إلى برنامج تجسس، ويتظاهر بأنه تحديث من متجر جوجل بلاي، ويستغل الرسائل النصية لسرقة بيانات المصادقة الثنائية، ويبثّ بيانات الكاميرا والميكروفون مباشرةً عبر تقنية WebRTC. ويتيح نموذج "البرمجيات الخبيثة كخدمة" له تسهيل اختراقه تقنياً للمهاجمين ذوي الخبرة المحدودة.
يمنح برنامج التجسس المتسللين القدرة على قراءة رسائل التحقق الثنائي، والدخول إلى الحسابات المصرفية، ومراقبة الأجهزة في الوقت الفعلي.
يُعلّم موقع Fantasy Hub المجرمين كيفية إنشاء متجر Google Play مزيف
بحسب بائعها، تسمح هذه البرمجية الخبيثة بالتحكم في الأجهزة والتجسس عليها. وهذا يمنح الجهات الخبيثة إمكانية الوصول إلى الرسائل النصية القصيرة، وجهات الاتصال، وسجلات المكالمات، والصور، ومقاطع الفيديو، بالإضافة إلى القدرة على اعتراض التنبيهات الواردة والرد عليها وحذفها.
يستغل هذا البرنامج الخبيث صلاحيات الرسائل النصية الافتراضية، على غرار برنامج ClayRAT، للوصول إلى الرسائل النصية وجهات الاتصال والكاميرا والملفات. ومن خلال مطالبة المستخدم بتعيينه كتطبيق افتراضي لإدارة الرسائل النصية، يستطيع البرنامج الخبيث الحصول على صلاحيات قوية متعددة دفعة واحدة، بدلاً من طلب صلاحيات فردية أثناء التشغيل.
يتلقى المجرمون الذين يستخدمون حلول مكافحة الجرائم الإلكترونية تعليماتٍ حول إنشاء صفحات هبوط وهمية لمتجر جوجل بلاي لتوزيعها، بالإضافة إلى خطوات تجاوز القيود. ويمكن للمشترين المحتملين اختيار الأيقونة والاسم والصفحة التي يرغبون في الحصول عليها للحصول على صفحة جذابة.
يتولى البوت إدارة الاشتراكات المدفوعة ومنح صلاحيات الوصول إلى أدوات التطوير. كما أنه مصمم بحيث يمكن للمهاجمين تحميل أي ملف APK إلى الخدمة واستلام نسخة مُعدّلة تحتوي على برمجيات خبيثة. الخدمة لكل مستخدم بسعر أسبوعي قدره 200 دولار أمريكي أو سعر شهري قدره 500 دولار أمريكي. كما يمكن للمستخدمين اختيار الاشتراك السنوي الذي تبلغ تكلفته 4500 دولار أمريكي.
توفر لوحة التحكم والسيطرة المرتبطة بالبرمجية الخبيثة تفاصيل حول الأجهزة المخترقة، بالإضافة إلى معلومات حول حالة الاشتراك نفسها. كما تتيح هذه اللوحة للمهاجمين إمكانية إصدار أوامر لجمع أنواع مختلفة من البيانات.
يستهدف تطبيق Fantasy Hub مستخدمي الخدمات المصرفية عبر الهاتف المحمول
تبين أن تطبيقات التنزيل هذه تعمل كتحديثات من متجر جوجل بلاي، مما يضفي عليها مظهراً من الشرعية ويخدع المستخدمين لمنحهم الأذونات اللازمة. ثم تستخدم هذه التطبيقات واجهات مزيفة للحصول على بياناتdentمصرفية مرتبطة بمؤسسات مالية روسية مثل ألفا، وبي إس بي، وتي بنك، وسبيربنك.
يدمج تطبيق Fantasy Hub برامج التنزيل الأصلية، والبث المباشر القائم على WebRTC، ويستغل دور معالج الرسائل النصية القصيرة لسرقة البيانات وانتحال شخصية التطبيقات الشرعية في الوقت الفعلي.
بحسب الباحث في شركة زيمبيريوم، فيشنو براتاباجيري، فإن برامج التجسس تشكل تهديدًا مباشرًا لعملاء الشركات الذين يستخدمون سياسة إحضار الأجهزة الشخصية (BYOD). إضافةً إلى ذلك، فإن المؤسسات التي يعتمد موظفوها على الخدمات المصرفية عبر الهاتف المحمول أو تطبيقات الهاتف المحمول الحساسة تواجه مشكلة.
يأتي هذا بعد أن كشف مختبر Zscaler ThreatLabz أن جهات التهديد تستخدم برامج خبيثة متطورة تستهدف القطاع المصرفي، مثل Anatsa وERMAC وTrickMo. وغالباً ما تشبه هذه البرامج تطبيقات الأدوات أو تطبيقات الإنتاجية الأصلية في متاجر التطبيقات الرسمية وغير الرسمية.
بمجرد تثبيتها، فإنها تستخدم أساليب خبيثة للغاية للحصول على أسماء المستخدمين وكلمات المرور وحتى رموز المصادقة الثنائية (2FA)، والتي تُعد ضرورية لإتمام المعاملات.
بالإضافة إلى ذلك، حذر مركز CERT Polska من حالات جديدة لبرامج ضارة لنظام Android تسمى NGate، والتي تحاول سرقة معلومات البطاقات من مستخدمي البنوك البولندية من خلال هجمات إعادة الاتصال بتقنية الاتصال قريب المدى (NFC).
عندما يفتح الضحية التطبيق المذكور، يُطلب منه إثبات هوية بطاقة الدفع الخاصة به عن طريق تمريرها على ظهر جهازه الذي يعمل بنظام أندرويد. يقوم التطبيق بعد ذلك بجمع بيانات تقنية الاتصال قريب المدى (NFC) الخاصة بالبطاقة بشكل سري، ثم يرسلها إلى خادم يتحكم به المهاجم أو مباشرةً إلى تطبيق مصاحب قام بتثبيته المهاجم الذي يرغب في سحب cash من جهاز الصراف الآلي.
تشير التقارير إلى ارتفاع المعاملات التي تتم باستخدام برامج خبيثة تستهدف نظام أندرويد بنسبة 67% سنويًا. وتعتمد هذه البرامج على برامج تجسس متطورة وبرامج خبيثة تستهدف البنوك. وقد تم الإبلاغ عن على متجر جوجل بلاي. وبين يونيو 2024 ومايو 2025، تم تحميل هذه التطبيقات 42 مليون مرة.
