Android-Trojaner „Fantasy Hub“ wird auf dem russischen Telegram-Kanal angeboten und stiehlt Zwei-Faktor-Authentifizierung

Cybersicherheitsforscher haben eine neue Android-RAT namens Fantasy Hub angekündigt, die Kriminellen als Abonnementdienst angeboten wird. Sie ist auf russischsprachigen Telegram-Kanälen im Rahmen eines Malware-as-a-Service-Modells (MaaS) erhältlich. 

Berichten zufolge verwandelt es jede beliebige App in Spyware, gibt sich als Play-Store-Update aus, kapert SMS, um die Zwei-Faktor-Authentifizierung zu stehlen, und streamt Kamera und Mikrofon in Echtzeit via WebRTC. Das Malware-as-a-Service-Modell senkt die technischen Hürden für Angreifer mit minimalen Fachkenntnissen.

Die Spyware gibt Hackern die Möglichkeit, 2FA-Nachrichten zu lesen, in Bankkonten einzudringen und Geräte in Echtzeit zu überwachen.

Fantasy Hub lehrt Kriminelle, wie man gefälschte Google Play Stores erstellt

Laut dem Verkäufer ermöglicht die Schadsoftware die Kontrolle über Geräte und Spionage. Dadurch erhalten Angreifer Zugriff auf SMS-Nachrichten, Kontakte, Anruflisten, Bilder und Videos sowie die Möglichkeit, eingehende Benachrichtigungen abzufangen, zu beantworten und zu löschen.

Die Schadsoftware nutzt, ähnlich wie ClayRAT, die standardmäßigen SMS-Berechtigungen aus, um Zugriff auf SMS-Nachrichten, Kontakte, die Kamera und Dateien zu erlangen. Indem sie den Benutzer auffordert, sie als Standard-SMS-App festzulegen, kann das Schadprogramm mehrere weitreichende Berechtigungen auf einmal erhalten, anstatt diese einzeln zur Laufzeit anfordern zu müssen.

Kriminelle, die Kunden der E-Crime-Lösung sind, erhalten Anleitungen zur Erstellung gefälschter Google Play Store-Landingpages für den Vertrieb sowie zu den Schritten, um Beschränkungen zu umgehen. Interessenten können Symbol, Namen und Seite auswählen, um eine professionell gestaltete Seite zu erhalten.

Der Bot verwaltet kostenpflichtige Abonnements und den Zugriff auf die Entwicklerplattform. Er ist so konzipiert, dass Angreifer beliebige APK-Dateien hochladen und eine mit Malware infizierte Version erhalten können. Der Dienst ist pro Nutzer für 200 US-Dollar pro Woche oder 500 US-Dollar pro Monat erhältlich. Alternativ kann ein Jahresabonnement für 4.500 US-Dollar abgeschlossen werden.

Das mit der Schadsoftware verknüpfte Command-and-Control-Panel (C2-Panel) liefert Details zu den kompromittierten Geräten sowie Informationen zum Abonnementstatus. Angreifer können über dieses Panel außerdem Befehle zur Erfassung verschiedener Datentypen ausführen.

Fantasy Hub richtet sich an Nutzer von mobilen Bankdienstleistungen

Es wurde festgestellt, dass die sogenannten Dropper-Apps als Google Play-Updates fungieren, wodurch sie einen legitimen Anschein erwecken und Nutzer dazu verleiten, die erforderlichen Berechtigungen zu erteilen. Anschließend nutzen sie gefälschte Benutzeroberflächen, umdentrussischer Finanzinstitute wie Alfa, PSB, T-Bank und Sberbank zu erlangen.

Fantasy Hub integriert native Dropper, WebRTC-basiertes Live-Streaming und nutzt die SMS-Handler-Rolle aus, um Daten zu stehlen und legitime Apps in Echtzeit zu imitieren.

Laut dem Zimperium-Forscher Vishnu Pratapagiri stellt die Spyware eine direkte Bedrohung für Unternehmenskunden dar, die BYOD nutzen. Darüber hinaus sind Organisationen gefährdet, deren Mitarbeiter auf Mobile Banking oder sensible mobile Apps angewiesen sind.

 Dies geschieht, nachdem Zscaler ThreatLabz aufgedeckt hat, dass Angreifer ausgeklügelte Banking-Trojaner wie Anatsa, ERMAC und TrickMo einsetzen. Diese ähneln oft echten Dienstprogrammen oder Produktivitäts-Apps in offiziellen und Drittanbieter-App-Stores. 

Sobald sie installiert sind, wenden sie sehr raffinierte Methoden an, um Benutzernamen, Passwörter und sogar Zwei-Faktor-Authentifizierungscodes (2FA) zu erlangen, die für den Abschluss von Transaktionen erforderlich sind.

Darüber hinaus hat CERT Polska vor neuen Fällen von Android-Malware namens NGate gewarnt, die versucht, Karteninformationen von polnischen Bankkunden durch NFC-Relay-Angriffe zu stehlen. 

Beim Öffnen der betreffenden App wird das Opfer aufgefordert, seine Zahlungskarte durch Antippen der Rückseite seines Android-Geräts zu verifizieren. Die App erfasst dann unbemerkt die NFC-Daten der Karte und sendet sie entweder an einen vom Angreifer kontrollierten Server oder direkt an eine Begleit-App, die der Angreifer installiert hat, um cash an einem Geldautomaten abzuheben.

Berichten zufolge nehmen Transaktionen mithilfe von Android-Malware jährlich um 67 % zu. Sie werden durch hochentwickelte Spyware und Banking-Trojaner ermöglicht. Im Google Play Store wurden etwa 239 schädliche Apps gemeldet . Zwischen Juni 2024 und Mai 2025 wurden diese Apps insgesamt 42 Millionen Mal heruntergeladen.