Investigadores de ciberseguridad han revelado detalles de un nuevo troyano de acceso remoto (RAT) para Android llamado Fantasy Hub que se comercializa en los canales de Telegram de habla rusa basándose en un modelo de malware como servicio (MaaS).
Según el vendedor, el malware permite controlar y espiar el dispositivo, permitiendo a los atacantes recopilar mensajes SMS, contactos, registros de llamadas, imágenes y vídeos, así como interceptar, responder y eliminar notificaciones entrantes.
«Este es un producto MaaS con documentación del vendedor, videos y un modelo de suscripción impulsado por bots que reduce la barrera de entrada y ayuda a los atacantes novatos», dijo el investigador de Zimperium, Vishnu Pratapagiri, en un informe la semana pasada.
«Debido a que apunta a flujos de trabajo financieros (cajeros bancarios falsos) y abusa del papel de los manejadores de SMS (para interceptar SMS de dos factores), representa una amenaza directa para los clientes empresariales que utilizan BYOD y las organizaciones cuyos empleados dependen de la banca móvil o de aplicaciones móviles sensibles».
El actor de amenazas se refiere a sus víctimas como «mamuts» en los anuncios de Fantasy Hub. Este es un término utilizado a menudo por los ciberdelincuentes basados en Telegram que operan fuera de Rusia.
Los clientes de Electronic Crime Solutions recibirán instrucciones sobre cómo crear una página de inicio falsa de Google Play Store para su distribución y los pasos para eludir las restricciones. Los compradores potenciales pueden elegir el ícono, el nombre y la apariencia de la página que deseen.
El bot, que gestiona las suscripciones pagas y el acceso a los constructores, está diseñado para permitir que los actores de amenazas carguen archivos APK arbitrarios al servicio y devuelvan una versión troyanizada con una carga útil maliciosa. Este servicio está disponible por $200 por semana o $500 por mes para un usuario (es decir, una sesión activa). Los usuarios también pueden elegir una suscripción anual por 4.500 dólares.
El panel de comando y control (C2) asociado con el malware muestra detalles sobre el dispositivo comprometido, así como información sobre el estado de la suscripción. Este panel también proporciona al atacante la capacidad de emitir comandos para recopilar varios tipos de datos.
«El vendedor indica al comprador que cree un bot, obtenga una identificación de chat y configure un token que enrute alertas generales y de alta prioridad a diferentes chats», dijo Zimperium. «Este diseño refleja fielmente HyperRat, el RAT de Android detallado el mes pasado».
Este malware, como ClayRAT, abusa de los permisos de SMS predeterminados para obtener acceso a mensajes SMS, contactos, cámaras y archivos. Al pedir a los usuarios que establezcan esto como su aplicación de procesamiento de SMS predeterminada, los programas maliciosos pueden obtener múltiples permisos poderosos a la vez en lugar de solicitar permisos individuales en tiempo de ejecución.
Se ha descubierto que las aplicaciones cuentagotas disfrazan su legitimidad haciéndose pasar por actualizaciones de Google Play para engañar a los usuarios y conseguir que concedan los permisos necesarios. Además de utilizar superposiciones falsas para obtener credenciales bancarias relacionadas con instituciones financieras rusas como Alfa, PSB, T-Bank y Sberbank, el software espía se basa en proyectos de código abierto para transmitir contenido de cámaras y micrófonos en tiempo real a través de WebRTC.
«El rápido aumento de las operaciones de malware como servicio (MaaS) como Fantasy Hub muestra con qué facilidad los atacantes pueden convertir en armas componentes legítimos de Android y comprometer dispositivos completos», dijo Pratapagiri. «A diferencia de los troyanos bancarios más antiguos que se basan únicamente en superposiciones, Fantasy Hub integra droppers nativos, transmisión en vivo basada en WebRTC y explotación de funciones de controlador de SMS para robar datos y hacerse pasar por aplicaciones legítimas en tiempo real».
La divulgación se produce después de que Zscaler ThreatLabz revelara que el software espía sofisticado y los troyanos bancarios provocaron un aumento interanual del 67% en las transacciones de malware de Android. Se reportaron hasta 239 aplicaciones maliciosas en Google Play Store, y estas aplicaciones se descargaron un total de 42 millones de veces entre junio de 2024 y mayo de 2025.
Las familias de malware de Android notables observadas durante este período incluyeron Anatsa (también conocido como TeaBot y Toddler), Void (también conocido como Vo1d) y un RAT de Android sin precedentes llamado Xnotice que apuntaba a solicitantes de empleo en el sector del petróleo y el gas en la región de Medio Oriente y África del Norte bajo la apariencia de aplicaciones de búsqueda de empleo distribuidas a través de portales de empleo falsos.
Una vez instalado, el malware roba credenciales bancarias a través de una superposición y recopila otros datos confidenciales, como códigos de autenticación multifactor (MFA), mensajes SMS y capturas de pantalla.
«Los actores de amenazas a menudo implementan troyanos bancarios sofisticados, como Anatsa, ERMAC y TrickMo, en tiendas de aplicaciones oficiales y de terceros disfrazados de utilidades y aplicaciones de productividad legítimas», dijo la compañía. «Una vez instalados, utilizan técnicas altamente engañosas para capturar nombres de usuario, contraseñas e incluso códigos de autenticación de dos factores (2FA) necesarios para autorizar transacciones».
Este hallazgo también sigue al aviso de CERT Polska sobre una nueva muestra de malware para Android llamado NGate (también conocido como NFSkate) que se dirige a usuarios de bancos polacos y roba información de tarjetas a través de ataques de retransmisión de comunicación de campo cercano (NFC). Los enlaces a aplicaciones maliciosas se distribuyen a través de correos electrónicos de phishing y mensajes SMS que pretenden ser de bancos, alertando a los destinatarios sobre problemas técnicos o incidentes de seguridad e incitándolos a instalar la aplicación.
Al iniciar la aplicación afectada, se solicita a las víctimas que confirmen su tarjeta de pago directamente dentro de la aplicación tocando la tarjeta de pago en la parte posterior de su dispositivo Android. Sin embargo, al hacer esto, la aplicación captura en secreto los datos NFC de la tarjeta y los filtra a un servidor controlado por el atacante o directamente a una aplicación complementaria instalada por el atacante que desea retirar efectivo del cajero automático.
«Esta campaña tiene como objetivo permitir a las víctimas retirar dinero en efectivo de los cajeros automáticos de forma fraudulenta utilizando sus propias tarjetas de pago», dijo la agencia. «En lugar de robar físicamente la tarjeta, el delincuente transmite el tráfico NFC de la tarjeta desde el teléfono Android de la víctima a un dispositivo que el atacante controla en el cajero automático».
Source link
