Исследователи в области кибербезопасности анонсировали новый RAT-программный продукт для Android под названием Fantasy Hub, который распространяется среди преступников по подписке. Он продается в русскоязычных каналах Telegram по модели «вредоносное ПО как услуга» (MaaS).
Согласно сообщениям, оно превращает любое приложение в шпионское ПО, имитирует обновление Play Store, перехватывает SMS-сообщения для кражи двухфакторной аутентификации и передает изображение с камеры и микрофона в режиме реального времени через WebRTC. Модель «вредоносное ПО как услуга» позволяет снизить технические барьеры для злоумышленников с минимальными знаниями.
Шпионское ПО позволяет хакерам читать сообщения двухфакторной аутентификации, получать доступ к банковским счетам и следить за устройствами в режиме реального времени.
Fantasy Hub обучает преступников созданию поддельных магазинов Google Play
По словам продавца, вредоносная программа позволяет управлять устройством и вести шпионаж. Это дает злоумышленникам доступ к SMS-сообщениям, контактам, журналам звонков, изображениям и видео, а также возможность перехватывать, отвечать на входящие уведомления и удалять их.
Вредоносная программа, подобно ClayRAT, использует стандартные права доступа к SMS-сообщениям, контактам, камере и файлам. Предлагая пользователю установить её в качестве приложения для обработки SMS по умолчанию, вредоносная программа может получить множество мощных разрешений одновременно, вместо того чтобы запрашивать отдельные разрешения во время выполнения.
Преступники, использующие это решение для борьбы с киберпреступностью, получают инструкции по созданию поддельных целевых страниц Google Play Store для распространения, а также по обходу ограничений. Потенциальные покупатели могут выбрать значок, название и страницу, для которой они хотят получить привлекательно оформленную страницу.
Бот обрабатывает платные подписки и предоставляет доступ к конструктору. Он также разработан таким образом, что злоумышленники могут загрузить любой APK-файл в сервис и получить троянизированную версию, содержащую встроенное вредоносное ПО. Сервис доступен для пользователей по еженедельной цене 200 долларов или ежемесячной цене 500 долларов. Пользователи также могут выбрать годовую подписку стоимостью 4500 долларов.
Панель управления и контроля (C2), связанная с вредоносным ПО, предоставляет подробную информацию о скомпрометированных устройствах, а также сведения о статусе подписки. Эта панель также позволяет злоумышленникам отдавать команды для сбора различных типов данных.
Fantasy Hub ориентирован на пользователей мобильного банкинга
Было обнаружено, что приложения-дропперы действуют как обновления Google Play, придавая им видимость легитимности и обманом заставляя пользователей предоставлять необходимые разрешения. Затем они используют поддельные наложения для получения банковскихdent, связанных с российскими финансовыми учреждениями, такими как Альфа-банк, ПСБ, Т-Банк и Сбербанк.
Fantasy Hub использует встроенные дропперы, потоковую передачу данных в реальном времени на основе WebRTC и эксплуатирует роль обработчика SMS для кражи данных и имитации легитимных приложений в режиме реального времени.
По словам исследователя Zimperium Вишну Пратапагири, шпионское ПО представляет прямую угрозу для корпоративных клиентов, использующих концепцию BYOD (использование личных устройств на рабочем месте). Кроме того, проблемы возникнут у организаций, сотрудники которых полагаются на мобильный банкинг или конфиденциальные мобильные приложения.
Это произошло после того, как Zscaler ThreatLabz сообщила, что злоумышленники используют сложные банковские трояны, такие как Anatsa, ERMAC и TrickMo. Они часто выглядят как настоящие утилиты или приложения для повышения производительности как в официальных, так и в сторонних магазинах приложений.
После установки они используют очень хитрые методы для получения имен пользователей, паролей и даже кодов двухфакторной аутентификации (2FA), необходимых для завершения транзакций.
Кроме того, CERT Polska предупредила о новых случаях распространения вредоносного ПО для Android под названием NGate, которое пытается украсть информацию о банковских картах пользователей польских банков с помощью атак методом ближней бесконтактной связи (NFC).
Когда жертва открывает указанное приложение, ей предлагается подтвердить свою платежную карту, приложив ее к задней панели своего Android-устройства. Затем приложение незаметно собирает данные NFC карты и отправляет их на сервер, контролируемый злоумышленником, или напрямую в сопутствующее приложение, установленное самим злоумышленником, который хочет снять cash в банкомате.
Согласно отчетам, количество транзакций с использованием вредоносного ПО для Android ежегодно увеличивается на 67%. Эти приложения работают на основе сложных шпионских программ и банковских троянов. зарегистрировано . В период с июня 2024 года по май 2025 года эти приложения были загружены в общей сложности 42 миллиона раз.
