Investigadores de ciberseguridad han anunciado un nuevo RAT para Android llamado Fantasy Hub, que se distribuye como servicio de suscripción para delincuentes. Está a la venta en canales de Telegram rusos bajo el modelo de Malware como Servicio (MaaS).
Según informes, convierte cualquier aplicación en spyware, se hace pasar por una actualización de Play Store, secuestra SMS para robar la autenticación de dos factores (2FA) y transmite la cámara y el micrófono en tiempo real mediante WebRTC. El modelo de malware como servicio (Malware-as-a-Service) le permite reducir las barreras técnicas para atacantes con experiencia mínima.
El software espía brinda a los piratas informáticos la capacidad de leer mensajes 2FA, ingresar a cuentas bancarias y observar dispositivos en tiempo real.
Fantasy Hub enseña a los delincuentes cómo crear una Google Play Store falsa
Según su vendedor, el malware permite el control y espionaje de dispositivos. Esto permite a los cibercriminales acceder a mensajes SMS, contactos, registros de llamadas, imágenes y vídeos, así como interceptar, responder y eliminar alertas entrantes.
El malware explota los privilegios predeterminados de SMS, de forma similar a ClayRAT, para acceder a mensajes SMS, contactos, la cámara y archivos. Al solicitar al usuario que la configure como la aplicación predeterminada para gestionar SMS, el programa malicioso puede obtener múltiples permisos importantes a la vez, en lugar de tener que solicitarlos individualmente durante la ejecución.
Los delincuentes que utilizan la solución contra el delito electrónico reciben instrucciones para crear páginas de destino falsas de Google Play Store para su distribución, así como los pasos para eludir las restricciones. Los compradores potenciales pueden elegir el icono, el nombre y la página que desean para obtener una página atractiva.
El bot gestiona las suscripciones de pago y el acceso a los desarrolladores. Además, está diseñado para que los ciberdelincuentes puedan subir cualquier archivo APK al servicio y recibir una versión troyanizada con malware incorporado. El servicio está disponible por usuario a un precio semanal de 200 dólares o mensual de 500 dólares. Los usuarios también pueden optar por una suscripción anual de 4500 dólares.
El panel de comando y control (C2) asociado al malware proporciona detalles sobre los dispositivos comprometidos, así como información sobre el estado de la suscripción. El panel también permite a los atacantes ejecutar comandos para recopilar diversos tipos de datos.
Fantasy Hub se dirige a los usuarios de banca móvil
Se ha descubierto que las aplicaciones de descarga funcionan como una actualización de Google Play, lo que les da una apariencia de legitimidad y engaña a los usuarios para que otorguen los permisos necesarios. Posteriormente, utilizan superposiciones falsas para obtenerdentbancarias asociadas con instituciones financieras rusas como Alfa, PSB, T-Bank y Sberbank.
Fantasy Hub integra cuentagotas nativos, transmisión en vivo basada en WebRTC y explota el rol del controlador de SMS para robar datos y hacerse pasar por aplicaciones legítimas en tiempo real.
Según Vishnu Pratapagiri, investigador de Zimperium, el spyware representa una amenaza directa para los clientes empresariales que utilizan BYOD. Además, las organizaciones cuyos empleados utilizan la banca móvil o aplicaciones móviles sensibles se encuentran en problemas.
Esto se produce después de que Zscaler ThreatLabz revelara que los actores de amenazas utilizan sofisticados troyanos bancarios, como Anatsa, ERMAC y TrickMo. Suelen parecerse a utilidades o aplicaciones de productividad genuinas, tanto en tiendas de aplicaciones oficiales como de terceros.
Una vez instalados, emplean métodos muy astutos para obtener nombres de usuario, contraseñas e incluso códigos de autenticación de dos factores (2FA), necesarios para completar transacciones.
Además, CERT Polska ha advertido sobre nuevos casos de malware para Android llamado NGate, que intenta robar información de tarjetas de usuarios de bancos polacos a través de ataques de retransmisión de comunicación de campo cercano (NFC).
Cuando la víctima abre la aplicación en cuestión, se le pide que pruebe su tarjeta de pago acercándola a la parte trasera de su dispositivo Android. La aplicación recopila discretamente los datos NFC de la tarjeta y los envía a un servidor controlado por el atacante o directamente a una aplicación complementaria instalada por el atacante que busca retirar cash de un cajero automático.
Los informes indican que las transacciones con malware para Android han aumentado un 67 % cada año. Este malware se alimenta de software espía avanzado y troyanos bancarios. Se han reportado en Google Play Store. Entre junio de 2024 y mayo de 2025, estas aplicaciones se descargaron un total de 42 millones de veces.
