O malware Android Trojan 'Fantasy Hub', à venda no Telegram russo, rouba autenticação de dois fatores (2FA)

Pesquisadores de cibersegurança anunciaram um novo RAT para Android chamado Fantasy Hub, que está sendo distribuído como um serviço de assinatura para criminosos. Ele está à venda em canais do Telegram de língua russa sob um modelo de Malware como Serviço (MaaS). 

Segundo relatos, ele transforma qualquer aplicativo em spyware, se disfarça de atualização da Play Store, sequestra SMS para roubar a autenticação de dois fatores (2FA) e transmite imagens da câmera e do microfone em tempo real via WebRTC. O modelo de Malware como Serviço (MaaS) permite que ele reduza as barreiras técnicas para atacantes com conhecimento mínimo.

O spyware permite que os hackers leiam mensagens de autenticação de dois fatores (2FA), acessem contas bancárias e monitorem dispositivos em tempo real.

A Fantasy Hub ensina criminosos a criar lojas falsas do Google Play

Segundo o vendedor, o malware permite o controle e a espionagem de dispositivos. Isso dá aos criminosos virtuais acesso a mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além da capacidade de interceptar, responder e excluir alertas recebidos.

O malware explora as permissões padrão de SMS, de forma semelhante ao ClayRAT, para obter acesso a mensagens SMS, contatos, câmera e arquivos. Ao solicitar que o usuário o defina como o aplicativo padrão para gerenciamento de SMS, o programa malicioso consegue obter diversas permissões poderosas de uma só vez, em vez de ter que solicitar permissões individuais em tempo de execução.

Criminosos que são clientes da solução de crimes cibernéticos recebem instruções relacionadas à criação de páginas de destino falsas da Google Play Store para distribuição, bem como os passos para contornar as restrições. Os potenciais compradores podem escolher o ícone, o nome e a página que desejam para receber uma página com aparência profissional.

O bot gerencia assinaturas pagas e acesso de desenvolvedores. Ele também foi projetado para que agentes maliciosos possam enviar qualquer arquivo APK para o serviço e receber uma versão infectada com o malware embutido. O serviço está disponível por usuário por um preço semanal de US$ 200 ou mensal de US$ 500. Os usuários também podem optar por uma assinatura anual que custa US$ 4.500.

O painel de comando e controle (C2) associado ao malware fornece detalhes sobre os dispositivos comprometidos, bem como informações sobre o próprio status da assinatura. O painel também permite que os invasores emitam comandos para coletar diversos tipos de dados.

Fantasy Hub tem como alvo usuários de serviços bancários móveis

Descobriu-se que os aplicativos dropper atuam como uma atualização do Google Play, conferindo-lhes uma aparência de legitimidade e enganando os usuários para que concedam as permissões necessárias. Em seguida, utilizam sobreposições falsas para obterdentbancárias associadas a instituições financeiras russas, como Alfa, PSB, T-Bank e Sberbank.

O Fantasy Hub integra droppers nativos, streaming ao vivo baseado em WebRTC e explora a função de manipulador de SMS para roubar dados e se passar por aplicativos legítimos em tempo real.

Segundo Vishnu Pratapagiri, pesquisador da Zimperium, o spyware representa uma ameaça direta para clientes corporativos que utilizam o modelo BYOD (Bring Your Own Device). Além disso, organizações cujos funcionários dependem de serviços bancários móveis ou aplicativos móveis sensíveis também estão em risco.

 Isso ocorre depois que o Zscaler ThreatLabz revelou que agentes maliciosos estão usando trojans bancários sofisticados, como Anatsa, ERMAC e TrickMo. Eles geralmente se disfarçam de aplicativos legítimos de utilidade ou produtividade, tanto em lojas de aplicativos oficiais quanto de terceiros. 

Uma vez instalados, eles empregam métodos muito sorrateiros para obter nomes de usuário, senhas e até mesmo códigos de autenticação de dois fatores (2FA), que são necessários para concluir transações.

Além disso, o CERT Polska alertou sobre novos casos de malware para Android chamado NGate, que tenta roubar informações de cartões de usuários de bancos poloneses por meio de ataques de retransmissão NFC (Near Field Communication). 

Quando a vítima abre o aplicativo em questão, é solicitado que ela comprove a autenticidade do seu cartão de pagamento encostando-o na parte traseira do seu dispositivo Android. O aplicativo então coleta discretamente os dados NFC do cartão e os envia para um servidor controlado pelo atacante ou diretamente para um aplicativo complementar instalado pelo criminoso que deseja sacar cash em um caixa eletrônico.

Relatórios indicam que as transações realizadas por meio de malware para Android aumentaram 67% ao ano. Esses aplicativos são impulsionados por spyware avançado e trojans bancários. Cerca de 239 aplicativos maliciosos foram relatados na Google Play Store. Entre junho de 2024 e maio de 2025, esses aplicativos foram baixados um total de 42 milhões de vezes.