El nuevo RAT para Android 'Fantasy Hub' se vende como malware como servicio a través de canales rusos de Telegram.
Investigadores de ciberseguridad han anunciado un nuevo RAT para Android llamado Fantasy Hub, que se distribuye a delincuentes mediante un servicio de suscripción. Se comercializa en canales de Telegram de habla rusa bajo un modelo de Malware como Servicio (MaaS).
Según los informes, convierte cualquier aplicación en spyware, se hace pasar por una actualización de Play Store, intercepta los SMS para robar la autenticación de dos factores y transmite la imagen de la cámara y el micrófono en tiempo real mediante WebRTC. El modelo de malware como servicio (MaaS) reduce las barreras técnicas para los atacantes con conocimientos mínimos.
El software espía otorga a los hackers la capacidad de leer mensajes de autenticación de dos factores (2FA), acceder a cuentas bancarias y monitorear dispositivos en tiempo real.
Fantasy Hub enseña a los delincuentes cómo crear tiendas Google Play falsas.
Según su vendedor, el malware permite el control del dispositivo y el espionaje. Esto otorga a los ciberdelincuentes acceso a mensajes SMS, contactos, registros de llamadas, imágenes y vídeos, así como la capacidad de interceptar, responder y eliminar alertas entrantes.
El malware aprovecha los privilegios predeterminados de SMS, de forma similar a ClayRAT, para acceder a los mensajes SMS, los contactos, la cámara y los archivos. Al solicitar al usuario que lo configure como la aplicación predeterminada para gestionar los SMS, el programa malicioso puede obtener múltiples permisos de gran poder de una sola vez, en lugar de tener que solicitarlos individualmente durante la ejecución.
Los delincuentes que utilizan la solución contra el cibercrimen reciben instrucciones para crear páginas de destino falsas de Google Play Store para su distribución, así como los pasos para eludir las restricciones. Los posibles compradores pueden elegir el icono, el nombre y la página que desean para obtener una página con un aspecto profesional.
El bot gestiona las suscripciones de pago y el acceso de los desarrolladores. Está diseñado para que los ciberdelincuentes puedan subir cualquier archivo APK al servicio y recibir una versión troyanizada con malware integrado. El servicio está disponible por usuario por un precio semanal de 200 $ o un precio mensual de 500 $. Los usuarios también pueden optar por una suscripción anual de 4500 $.
El panel de comando y control (C2) asociado al malware proporciona detalles sobre los dispositivos comprometidos, así como información sobre el estado de la suscripción. Este panel también permite a los atacantes ejecutar comandos para recopilar diversos tipos de datos.
Fantasy Hub está dirigido a usuarios de banca móvil.
Se ha descubierto que estas aplicaciones maliciosas simulan ser una actualización de Google Play, otorgándoles una apariencia de legitimidad y engañando a los usuarios para que concedan los permisos necesarios. Posteriormente, utilizan superposiciones falsas para obtenerdentbancarias asociadas a instituciones financieras rusas como Alfa, PSB, T-Bank y Sberbank.
Fantasy Hub integra programas de descarga nativos, transmisión en vivo basada en WebRTC y explota la función de gestor de SMS para robar datos e imitar aplicaciones legítimas en tiempo real.
Según Vishnu Pratapagiri, investigador de Zimperium, el software espía representa una amenaza directa para las empresas que utilizan dispositivos personales en el trabajo (BYOD). Además, las organizaciones cuyos empleados dependen de la banca móvil o de aplicaciones móviles sensibles se encuentran en peligro.
Esto se produce después de que Zscaler ThreatLabz revelara que los ciberdelincuentes están utilizando sofisticados troyanos bancarios, como Anatsa, ERMAC y TrickMo. A menudo se asemejan a utilidades o aplicaciones de productividad legítimas tanto en tiendas de aplicaciones oficiales como de terceros.
Una vez instalados, emplean métodos muy sigilosos para obtener nombres de usuario, contraseñas e incluso códigos de autenticación de dos factores (2FA), que son necesarios para completar las transacciones.
Además, CERT Polska ha alertado sobre nuevos casos de malware para Android llamado NGate, que intenta robar información de tarjetas de usuarios bancarios polacos a través de ataques de retransmisión de comunicación de campo cercano (NFC).
Cuando la víctima abre la aplicación en cuestión, se le pide que demuestre la autenticidad de su tarjeta de pago acercándola a la parte posterior de su dispositivo Android. La aplicación recopila entonces discretamente los datos NFC de la tarjeta y los envía a un servidor controlado por el atacante o directamente a una aplicación complementaria instalada por el ciberdelincuente, quien pretende retirar cash de un cajero automático.
Según informes, las transacciones que utilizan malware para Android han aumentado un 67 % anual. Este malware se basa en software espía avanzado y troyanos bancarios. Se han reportado en Google Play Store. Entre junio de 2024 y mayo de 2025, estas aplicaciones se descargaron un total de 42 millones de veces.
¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.
Artículos Recomendados
