Los investigadores de ciberseguridad han revelado detalles de un nuevo troyano de acceso remoto (RAT) para Android llamado Fantasy Hub que se vende en los canales de Telegram de habla rusa bajo un modelo de malware como servicio (MaaS).
Según su vendedor, el malware permite el control de dispositivos y el espionaje, lo que permite a los actores de amenazas recopilar mensajes SMS, contactos, registros de llamadas, imágenes y vídeos, así como interceptar, responder y eliminar las notificaciones entrantes.
«Es un producto de MaaS con documentación para el vendedor, vídeos y un modelo de suscripción basado en bots que ayuda a los atacantes novatos al ofrecer una barrera de entrada baja», dijo Vishnu Pratapagiri, investigador de Zimperium dijo en un informe de la semana pasada.
«Como se dirige a los flujos de trabajo financieros (ventanas falsas para los bancos) y abusa de la función de gestor de SMS (para interceptar SMS de dos factores), representa una amenaza directa para los clientes empresariales que utilizan BYOD y para cualquier organización cuyos empleados dependan de la banca móvil o de aplicaciones móviles delicadas».
El autor de la amenaza, en su anuncio de Fantasy Hub, se refiere a las víctimas como» mamuts », un término que suelen utilizar los ciberdelincuentes de Telegram que operan desde Rusia.
Los clientes de la solución para delitos electrónicos reciben instrucciones relacionadas con la creación de páginas de destino falsas de Google Play Store para su distribución, así como los pasos para eludir las restricciones. Los posibles compradores pueden elegir el icono, el nombre y la página que desean para obtener una página con un aspecto elegante.
El bot, que gestiona las suscripciones de pago y el acceso a los creadores, también está diseñado para permitir a los actores de amenazas subir cualquier archivo APK al servicio y devolver una versión troyanizada con la carga maliciosa incrustada. El servicio está disponible para un usuario (es decir, una sesión activa) por un precio semanal de 200 dólares o 500 dólares al mes. Los usuarios también pueden optar por una suscripción anual que cuesta 4.500 dólares.
El panel de comando y control (C2) asociado al malware proporciona detalles sobre los dispositivos comprometidos, junto con información sobre el estado de la suscripción en sí. El panel también ofrece a los atacantes la posibilidad de emitir comandos para recopilar varios tipos de datos.
«Los vendedores indican a los compradores que creen un bot, capturen la ID del chat y configuren los tokens para enviar las alertas generales y de alta prioridad a chats separados», afirma Zimperium. «Este diseño refleja fielmente HyperRat , una RAT de Android que se detalló el mes pasado».
En cuanto al malware, abusa de los privilegios de SMS predeterminados, como Rata de arcilla para obtener acceso a los mensajes SMS, los contactos, la cámara y los archivos. Al solicitar al usuario que la configure como la aplicación de gestión de SMS predeterminada, permite que el programa malintencionado obtenga varios permisos potentes de una sola vez, en lugar de tener que solicitar permisos individuales durante el tiempo de ejecución.
Se ha descubierto que las aplicaciones cuentagotas se hacen pasar por una actualización de Google Play para darle una apariencia de legitimidad y engañar a los usuarios para que les otorguen los permisos necesarios. Además de utilizar superposiciones falsas para obtener credenciales bancarias asociadas a instituciones financieras rusas como Alfa, PSB, T-Bank y Sberbank, el software espía se basa en un proyecto de código abierto para transmitir contenido de cámaras y micrófonos en tiempo real a través de WebRTC.
«El rápido aumento de las operaciones de malware como servicio (MaaS), como Fantasy Hub, demuestra la facilidad con la que los atacantes pueden convertir en armas los componentes legítimos de Android para lograr un compromiso total con el dispositivo», afirma Pratapagiri. «A diferencia de los troyanos bancarios más antiguos, que se basaban únicamente en superposiciones, Fantasy Hub integra cuentagotas nativos, streaming en directo basado en WebRTC y abusa de la función de gestor de SMS para filtrar datos y hacerse pasar por aplicaciones legítimas en tiempo real».
La revelación se produce cuando Zscaler ThreatLabz reveló que las transacciones de malware para Android aumentaron un 67% año tras año, impulsadas por sofisticados troyanos bancarios y spyware. Se han identificado hasta 239 aplicaciones maliciosas en Google Play Store, y las aplicaciones se descargaron 42 millones de veces en total entre junio de 2024 y mayo de 2025.
Algunas de las familias de malware para Android más destacadas observadas durante el período fueron Anatsa (también conocido como TeaBot and Toddler), Vacío (también conocido como Vo1d) y una RAT para Android inédita llamada Xnotice que se ha dirigido a personas que buscan empleo en el sector del petróleo y el gas en las regiones de Oriente Medio y el Norte de África haciéndolas pasar por aplicaciones de solicitud de empleo distribuidas a través de portales de empleo falsos.
Una vez instalado, el malware roba las credenciales bancarias mediante superposiciones y recopila otros datos confidenciales, como códigos de autenticación multifactor (MFA), mensajes SMS y capturas de pantalla.
«Los actores de amenazas despliegan troyanos bancarios sofisticados como Anatsa, ERMAC , y Truco Mo , que a menudo se disfrazan de utilidades o aplicaciones de productividad legítimas en las tiendas de aplicaciones oficiales y de terceros», la empresa dijo . «Una vez instalados, utilizan técnicas altamente engañosas para capturar nombres de usuario, contraseñas e incluso los códigos de autenticación de dos factores (2FA) necesarios para autorizar las transacciones».
Los hallazgos también siguen a un aviso del CERT Polska sobre nuevas muestras de malware para Android llamadas nGate (también conocido como NFSkate) tiene como objetivo a los usuarios de los bancos polacos para saquear los datos de las tarjetas mediante ataques de retransmisión de comunicación de campo cercano (NFC). Los enlaces a las aplicaciones malintencionadas se distribuyen a través de correos electrónicos o mensajes SMS de suplantación de identidad que, supuestamente, provienen de los bancos y advierten a los destinatarios de un problema técnico o un incidente de seguridad, lo que los empuja a instalar la aplicación.
Al iniciar la aplicación en cuestión, se le pide a la víctima que verifique su tarjeta de pago directamente dentro de la aplicación tocándola en la parte posterior del dispositivo Android. Sin embargo, al hacerlo, la aplicación captura sigilosamente los datos NFC de la tarjeta y los filtra a un servidor controlado por un atacante o directamente a una aplicación complementaria instalada por el autor de la amenaza que quiere retirar dinero de un cajero automático.
«La campaña está diseñada para permitir las retiradas de efectivo no autorizadas en los cajeros automáticos utilizando las propias tarjetas de pago de las víctimas», dijo la agencia dijo . «Los delincuentes no roban físicamente la tarjeta; transmiten el tráfico NFC de la tarjeta desde el teléfono Android de la víctima a un dispositivo que el atacante controla en un cajero automático».