サイバーセキュリティ研究者は、犯罪者向けのサブスクリプションサービスとして配布されている新たなAndroid RAT「Fantasy Hub」を発表しました。これは、マルウェア・アズ・ア・サービス(MaaS)モデルに基づき、ロシア語圏のTelegramチャンネルで販売されています。.
報道によると、このマルウェアはあらゆるアプリをスパイウェア化し、Playストアのアップデートを装い、SMSを乗っ取って2要素認証を盗み出し、WebRTC経由でカメラとマイクのリアルタイムストリーミングを行うとのことです。このマルウェアは「Malware-as-a-Service(MaaS)」モデルを採用しているため、専門知識がほとんどない攻撃者でも技術的障壁を低く抑えることができます。.
このスパイウェアにより、ハッカーは2FAメッセージを読んだり、銀行口座に侵入したり、デバイスをリアルタイムで監視したりできるようになります。.
ファンタジーハブは犯罪者に偽のGoogle Playストアを作成する方法を教えています
販売者によると、このマルウェアはデバイスの制御とスパイ活動を可能にするとのことです。これにより、脅威アクターはSMSメッセージ、連絡先、通話履歴、画像、動画へのアクセスに加え、受信したアラートを傍受、返信、削除することも可能になります。.
このマルウェアは、ClayRATと同様に、デフォルトのSMS権限を悪用してSMSメッセージ、連絡先、カメラ、ファイルへのアクセスを取得します。ユーザーにデフォルトのSMS処理アプリとして設定するよう促すことで、悪意のあるプログラムは実行時に個別に権限を要求するのではなく、複数の強力な権限を一度に取得できます。.
電子犯罪対策ソリューションの顧客である犯罪者は、配布用の偽のGoogle Playストアランディングページの作成方法と、制限を回避する手順に関する指示を受け取ります。購入希望者は、アイコン、名前、ページを選択して、洗練された外観のページを受け取ることができます。.
このボットは有料購読とビルダーアクセスを管理します。また、攻撃者が任意のAPKファイルをサービスにアップロードし、マルウェアが組み込まれたトロイの木馬化バージョンを受け取ることができるように設計されています。この サービス はユーザーごとに週額200ドル、または月額500ドルで利用できます。ユーザーは年間購読を選択でき、その費用は4,500ドルです。
マルウェアに関連付けられたコマンドアンドコントロール(C2)パネルは、侵害されたデバイスの詳細に加え、サブスクリプションのステータス自体に関する情報も提供します。また、攻撃者はこのパネルを使用してコマンドを発行し、様々なデータを収集することもできます。.
ファンタジーハブはモバイルバンキングユーザーをターゲットに
ドロッパーアプリはGoogle Playのアップデートを装い、正規のアプリであるかのように見せかけてユーザーに必要な権限を付与させることが判明しています。その後、偽のオーバーレイを使用して、Alfa、PSB、T-Bank、Sberbankなどのロシアの金融機関に関連する銀行dent情報を取得します。.
Fantasy Hub は、ネイティブ ドロッパーと WebRTC ベースのライブ ストリーミングを統合し、SMS ハンドラーの役割を悪用してデータを盗み、正規のアプリをリアルタイムで偽装します。.
Zimperiumの研究者Vishnu Pratapagiri氏によると、このスパイウェアはBYODを利用する企業顧客に直接的な脅威をもたらします。さらに、従業員がモバイルバンキングや機密性の高いモバイルアプリに依存している組織は、深刻な問題に直面することになります。.
これは、Zscaler ThreatLabzが、脅威アクターがAnatsa、ERMAC、TrickMoといった高度なバンキング型トロイの木馬を使用していることを明らかにしたことを受けての発表です。これらのトロイの木馬は、公式アプリストアとサードパーティアプリストアの両方で、正規のユーティリティアプリや生産性向上アプリに類似していることがよくあります。.
インストールされると、非常に巧妙な方法を使って、ユーザー名、パスワード、さらにはトランザクションの完了に必要な 2 要素認証 (2FA) コードを入手します。.
さらに、CERT Polska は、近距離無線通信 (NFC) リレー攻撃を通じてポーランドの銀行ユーザーからカード情報を盗もうとする NGate と呼ばれる Android マルウェアの新しい事例について警告しています。.
被害者が問題のアプリを開くと、Androidデバイスの背面にカードをタップして認証するよう求められます。その後、アプリはカードのNFCデータを密かに収集し、攻撃者が管理するサーバー、またはATMから cash 引き出そうとする脅威アクターがインストールしたコンパニオンアプリに直接送信します。.
報告によると、Androidマルウェアを利用した取引は毎年67%増加しています。これらは高度なスパイウェアやバンキング型トロイの木馬によって実行されています。Google Playストアでは約239件の悪質アプリが 報告され 、2024年6月から2025年5月の間に、これらのアプリは合計4,200万回ダウンロードされました。
