Des chercheurs en cybersécurité ont annoncé l'apparition d'un nouveau RAT Android, baptisé Fantasy Hub, distribué aux cybercriminels sous forme d'abonnement. Il est proposé à la vente sur des chaînes Telegram russophones selon un modèle de logiciel malveillant en tant que service (MaaS).
D'après les rapports, ce logiciel malveillant transforme n'importe quelle application en logiciel espion, se fait passer pour une mise à jour du Play Store, détourne les SMS pour voler l'authentification à deux facteurs et diffuse en direct le flux vidéo de la caméra et du microphone via WebRTC. Son modèle de logiciel malveillant en tant que service (MaaS) lui permet de simplifier son utilisation pour les attaquants, même ceux ayant des connaissances techniques limitées.
Ce logiciel espion permet aux pirates de lire les messages d'authentification à deux facteurs, d'accéder aux comptes bancaires et de surveiller les appareils en temps réel.
Fantasy Hub enseigne aux criminels comment créer de faux comptes Google Play Store
Selon son vendeur, ce logiciel malveillant permet de contrôler l'appareil et de l'espionner. Il donne ainsi aux cybercriminels accès aux SMS, aux contacts, à l'historique des appels, aux images et aux vidéos, ainsi qu'à la possibilité d'intercepter, de répondre à et de supprimer les alertes entrantes.
Ce logiciel malveillant exploite les privilèges SMS par défaut, à l'instar de ClayRAT, pour accéder aux SMS, aux contacts, à l'appareil photo et aux fichiers. En incitant l'utilisateur à le définir comme application de gestion des SMS par défaut, le programme malveillant obtient simultanément de multiples autorisations importantes, sans avoir à les demander individuellement lors de son exécution.
Les criminels clients de cette solution de lutte contre la cybercriminalité reçoivent des instructions pour créer de fausses pages d'accueil du Google Play Store destinées à la diffusion, ainsi que les étapes à suivre pour contourner les restrictions. Les acheteurs potentiels peuvent choisir l'icône, le nom et la page sur lesquels ils souhaitent obtenir une page à l'apparence soignée.
Le bot gère les abonnements payants et l'accès développeur. Il est également conçu pour permettre aux acteurs malveillants de télécharger n'importe quel fichier APK et de recevoir une version infectée par un cheval de Troie contenant un logiciel malveillant. Le service est disponible par utilisateur au prix de 200 $ par semaine ou 500 $ par mois. Les utilisateurs peuvent également opter pour un abonnement annuel à 4 500 $.
Le panneau de commande et de contrôle (C2) associé au logiciel malveillant fournit des informations détaillées sur les appareils compromis, ainsi que sur l'état de l'abonnement. Ce panneau permet également aux attaquants d'exécuter des commandes pour collecter différents types de données.
Fantasy Hub cible les utilisateurs de services bancaires mobiles
Ces applications malveillantes se font passer pour des mises à jour de Google Play, leur conférant une apparence de légitimité et incitant les utilisateurs à accorder les autorisations nécessaires. Elles utilisent ensuite de fausses interfaces pour obtenirdentbancaires associés à des institutions financières russes telles qu'Alfa, PSB, T-Bank et Sberbank.
Fantasy Hub intègre des droppers natifs, la diffusion en direct basée sur WebRTC et exploite le rôle de gestionnaire de SMS pour voler des données et usurper l'identité d'applications légitimes en temps réel.
Selon Vishnu Pratapagiri, chercheur chez Zimperium, ce logiciel espion représente une menace directe pour les entreprises utilisant le BYOD (Bring Your Own Device). De plus, les organisations dont les employés utilisent des services bancaires mobiles ou des applications mobiles sensibles sont en difficulté.
Cette information fait suite aux révélations de Zscaler ThreatLabz selon lesquelles des acteurs malveillants utilisent des chevaux de Troie bancaires sophistiqués, tels qu'Anatsa, ERMAC et TrickMo. Ces logiciels malveillants se font souvent passer pour des utilitaires ou des applications de productivité légitimes, disponibles aussi bien sur les plateformes officielles que sur les plateformes tierces.
Une fois installés, ils emploient des méthodes très sournoises pour obtenir les noms d'utilisateur, les mots de passe et même les codes d'authentification à deux facteurs (2FA), qui sont nécessaires pour effectuer les transactions.
Par ailleurs, le CERT Polska a mis en garde contre de nouveaux cas de logiciels malveillants Android appelés NGate, qui tentent de voler des informations de carte bancaire à des utilisateurs de banques polonaises via des attaques par relais NFC (Near Field Communication).
Lorsque la victime ouvre l'application en question, il lui est demandé de prouver l'authenticité de sa carte bancaire en la présentant au dos de son appareil Android. L'application collecte alors discrètement les données NFC de la carte et les envoie soit à un serveur contrôlé par l'attaquant, soit directement à une application associée installée par ce dernier, qui souhaite retirer cash à un distributeur automatique.
Selon les rapports, les transactions utilisant des logiciels malveillants sur Android ont augmenté de 67 % par an. Ces logiciels malveillants exploitent des logiciels espions sophistiqués et des chevaux de Troie bancaires. Environ 239 applications malveillantes ont été signalées sur le Google Play Store. Entre juin 2024 et mai 2025, ces applications ont été téléchargées 42 millions de fois.
