I ricercatori di sicurezza informatica hanno annunciato un nuovo RAT per Android chiamato Fantasy Hub, distribuito come servizio in abbonamento ai criminali. È in vendita sui canali Telegram di lingua russa secondo il modello Malware-as-a-Service (MaaS).
Secondo quanto riportato, trasforma qualsiasi app in uno spyware, si spaccia per un aggiornamento del Play Store, dirotta gli SMS per rubare l'autenticazione a due fattori (2FA) e trasmette in streaming dati di fotocamera e microfono in tempo reale tramite WebRTC. Il modello Malware-as-a-Service consente di ridurre le barriere tecniche per gli aggressori con competenze minime.
Lo spyware consente agli hacker di leggere i messaggi 2FA, accedere ai conti bancari e monitorare i dispositivi in tempo reale.
Fantasy Hub insegna ai criminali come creare un falso Google Play Store
Secondo il suo venditore, il malware consente il controllo e lo spionaggio dei dispositivi. Ciò consente agli autori della minaccia di accedere a messaggi SMS, contatti, registri delle chiamate, immagini e video, nonché di intercettare, rispondere ed eliminare gli avvisi in arrivo.
Il malware sfrutta i privilegi SMS predefiniti, simili a ClayRAT, per accedere a messaggi SMS, contatti, fotocamera e file. Richiedendo all'utente di impostarla come app predefinita per la gestione degli SMS, il programma dannoso può ottenere più autorizzazioni avanzate in una sola volta, anziché dover richiedere autorizzazioni individuali in fase di esecuzione.
I criminali che utilizzano la soluzione contro i crimini elettronici ricevono istruzioni su come creare false landing page sul Google Play Store da distribuire, nonché i passaggi per aggirare le restrizioni. I potenziali acquirenti possono scegliere l'icona, il nome e la pagina che desiderano per ricevere una pagina dall'aspetto accattivante.
Il bot gestisce gli abbonamenti a pagamento e l'accesso per gli sviluppatori. È inoltre progettato in modo che gli autori di minacce possano caricare qualsiasi file APK sul servizio e ricevere una versione infetta da trojan contenente malware. Il servizio è disponibile per utente a un prezzo settimanale di 200 dollari o mensile di 500 dollari. Gli utenti possono anche optare per un abbonamento annuale al costo di 4.500 dollari.
Il pannello di comando e controllo (C2) associato al malware fornisce dettagli sui dispositivi compromessi, nonché informazioni sullo stato dell'abbonamento stesso. Il pannello consente inoltre agli aggressori di impartire comandi per raccogliere vari tipi di dati.
Fantasy Hub punta agli utenti di mobile banking
È stato scoperto che le app dropper agiscono come un aggiornamento di Google Play, conferendogli una parvenza di legittimità e inducendo gli utenti a concedere le autorizzazioni necessarie. Utilizzano quindi sovrapposizioni false per otteneredentbancarie associate a istituti finanziari russi come Alfa, PSB, T-Bank e Sberbank.
Fantasy Hub integra dropper nativi, streaming live basato su WebRTC e sfrutta il ruolo di gestore SMS per rubare dati e impersonare app legittime in tempo reale.
Secondo Vishnu Pratapagiri, ricercatore di Zimperium, lo spyware rappresenta una minaccia diretta per i clienti aziendali che utilizzano il BYOD. Inoltre, le aziende i cui dipendenti fanno affidamento su servizi di mobile banking o app mobili sensibili sono in difficoltà.
Questo dopo che Zscaler ThreatLabz ha rivelato che gli autori delle minacce utilizzano sofisticati trojan bancari, come Anatsa, ERMAC e TrickMo. Spesso assomigliano a vere e proprie utility o app per la produttività, sia negli app store ufficiali che in quelli di terze parti.
Una volta installati, utilizzano metodi molto subdoli per ottenere nomi utente, password e persino codici di autenticazione a due fattori (2FA), necessari per completare le transazioni.
Inoltre, CERT Polska ha lanciato l'allarme su nuovi casi di malware Android denominato NGate, che tenta di rubare informazioni sulle carte di credito degli utenti di banche polacche tramite attacchi di relay Near Field Communication (NFC).
Quando la vittima apre l'app in questione, le viene chiesto di convalidare la propria carta di pagamento toccandola sul retro del dispositivo Android. L'app raccoglie quindi discretamente i dati NFC della carta e li invia a un server controllato dall'aggressore o direttamente a un'app complementare installata dall'autore della minaccia che desidera prelevare cash da un bancomat.
I report affermano che le transazioni che utilizzano malware Android sono aumentate del 67% ogni anno. Sono alimentate da spyware avanzati e trojan bancari. Sono state segnalate sul Google Play Store. Tra giugno 2024 e maggio 2025, le app sono state scaricate in totale 42 milioni di volte.
