网络安全研究人员发布了一款名为Fantasy Hub的新型安卓远程访问木马(RAT),该木马以订阅服务的形式向犯罪分子分发。它通过俄语Telegram频道以恶意软件即服务(MaaS)模式进行销售。.
据报道,该恶意软件可以将任何应用程序变成间谍软件,伪装成应用商店更新,劫持短信窃取双因素认证信息,并通过 WebRTC 实时传输摄像头和麦克风数据。这种“恶意软件即服务”模式降低了攻击者的技术门槛,即使他们只有极少的专业技能也能轻松上手。.
该间谍软件使黑客能够读取双因素身份验证信息、入侵银行账户并实时监控设备。.
Fantasy Hub 教唆犯罪分子创建虚假的 Google Play 商店
据其销售商称,该恶意软件可实现设备控制和间谍活动。这使得攻击者能够访问短信、联系人、通话记录、图片和视频,以及拦截、回复和删除传入警报。.
该恶意软件利用默认短信权限(类似于 ClayRAT),获取对短信、联系人、摄像头和文件的访问权限。通过诱使用户将其设置为默认短信处理应用,该恶意程序可以一次性获取多个强大的权限,而无需在运行时逐个请求权限。.
使用这套网络犯罪解决方案的犯罪分子会收到关于如何创建虚假的 Google Play 应用商店落地页并进行分发的说明,以及绕过限制的步骤。潜在买家可以选择他们想要的图标、名称和页面,从而获得一个精美的页面。.
该机器人负责处理付费订阅和开发者访问权限。它的设计也使得攻击者可以上传任何 APK 文件到该服务,并收到一个内置恶意软件的木马版本。该服务按用户收费,每周价格为 200 美元,每月价格为 500 美元。用户还可以选择每年 4,500 美元的订阅计划。
与该恶意软件关联的命令与控制 (C2) 面板提供有关受感染设备的详细信息,以及订阅状态本身的信息。该面板还允许攻击者发出命令来收集各种类型的数据。.
Fantasy Hub的目标用户是移动银行用户
这些恶意应用被发现伪装成 Google Play 更新,使其看起来合法可信,从而诱骗用户授予必要的权限。之后,它们会利用虚假界面获取与俄罗斯金融机构(例如 Alfa、PSB、T-Bank 和 Sberbank)相关的银行dent。.
Fantasy Hub 集成了原生投币器、基于 WebRTC 的实时流媒体功能,并利用短信处理程序角色来窃取数据并实时冒充合法应用程序。.
据Zimperium研究员Vishnu Pratapagiri称,这种间谍软件对使用自带设备办公(BYOD)的企业客户构成直接威胁。此外,员工依赖手机银行或敏感移动应用程序的组织也面临风险。.
此前,Zscaler ThreatLabz 披露,网络攻击者正在使用复杂的银行木马程序,例如 Anatsa、ERMAC 和 TrickMo。这些木马程序通常伪装成官方和第三方应用商店中的实用工具或效率类应用。.
一旦安装完毕,它们就会采用非常隐蔽的方法来获取用户名、密码,甚至是完成交易所需的双因素身份验证 (2FA) 代码。.
此外,CERT Polska 还警告称,一种名为 NGate 的新型 Android 恶意软件试图通过近场通信 (NFC) 中继攻击窃取波兰银行用户的银行卡信息。.
当受害者打开该应用程序时,会被要求将支付卡轻触安卓设备背面以验证身份。随后,该应用程序会悄悄收集卡片的NFC数据,并将其发送到攻击者控制的服务器,或者直接发送到攻击者安装的配套应用程序(攻击者希望借此从ATM机 cash )。.
报告显示,利用安卓恶意软件进行的交易每年增长67%。这些交易由高级间谍软件和银行木马程序驱动。谷歌应用商店已报告。2024年6月至2025年5月期间,这些应用的总下载量达4200万次。
