Pesquisadores em cibersegurança revelaram um novo trojan de acesso remoto (RAT) para Android chamado Fantasy Hub, comercializado em canais russófonos no Telegram por meio de um modelo Malware-as-a-Service (MaaS).
Segundo o vendedor, o malware permite controle total do dispositivo e espionagem, possibilitando a coleta de mensagens SMS, contatos, registros de chamadas, imagens e vídeos.
Também intercepta, responde e exclui notificações recebidas.
De acordo com Vishnu Pratapagiri, pesquisador da Zimperium, “é um produto MaaS que oferece documentação, vídeos explicativos e um modelo de assinatura gerenciado por bot, facilitando o acesso até mesmo para atacantes iniciantes”.
Ele destaca que o malware foca em fluxos financeiros — criando janelas falsas para bancos — e abusa das permissões de SMS para interceptar mensagens de autenticação em dois fatores, representando uma ameaça especialmente para empresas com políticas BYOD e funcionários que usam apps bancários móveis.
Nos anúncios do Fantasy Hub, as vítimas são chamadas de “mamutes”, termo comum entre cibercriminosos russos no Telegram.
Os compradores recebem orientações para criar páginas falsas da Google Play Store para distribuir o malware, incluindo instruções sobre a escolha de ícones, nomes e aparência dessas páginas fraudulentas, além de técnicas para burlar restrições.
Um bot gerencia assinaturas e o acesso ao construtor do malware, permitindo que os clientes façam upload de APKs legítimos e recebam versões trojanizadas com payload malicioso incorporado.
O serviço custa US$ 200 por semana para uma sessão ativa, US$ 500 por mês ou US$ 4.500 na assinatura anual.
O painel de command-and-control (C2) exibe informações sobre dispositivos comprometidos e status das assinaturas, possibilitando o envio de comandos para coleta de dados variados.
A infraestrutura do bot inclui orientações para que compradores configurem bots que encaminham alertas em diferentes níveis, seguindo modelo semelhante ao RAT Android HyperRat, detalhado recentemente pela Zimperium.
Quanto ao funcionamento, o malware explora privilégios padrão de SMS, como o ClayRAT, para acessar mensagens, contatos, câmera e arquivos.
O usuário é induzido a definir o app como provedor padrão de SMS, concedendo múltiplas permissões em uma única ação e evitando solicitações individuais durante o uso.
Os aplicativos dropper se disfarçam como atualizações legítimas do Google Play para enganar usuários e obter permissões.
Além de usar overlays falsos para roubar credenciais bancárias de instituições russas como Alfa, PSB, T-Bank e Sberbank, o spyware utiliza um projeto open-source para transmitir o conteúdo da câmera e do microfone em tempo real via WebRTC.
Pratapagiri ressalta que “o crescimento acelerado de operações MaaS como Fantasy Hub mostra como atacantes exploram componentes legítimos do Android para comprometer totalmente os dispositivos”.
Ele compara essa ameaça a trojans bancários antigos, destacando que o Fantasy Hub integra droppers nativos, streaming ao vivo via WebRTC e abuso de permissões de SMS para extração de dados e falsificação em tempo real.
Essa divulgação ocorre em um momento em que o Zscaler ThreatLabz reportou aumento de 67% na negociação de malwares para Android em comparação ao ano anterior.
Foram identificados 239 apps maliciosos na Google Play Store, baixados coletivamente 42 milhões de vezes entre junho de 2024 e maio de 2025.
Entre as famílias de malware mais notórias no período estão Anatsa (também conhecido como TeaBot e Toddler), Void (ou Vo1d) e o RAT Xnotice, que atua em candidatos a emprego no setor de petróleo e gás no Oriente Médio e Norte da África, disfarçado de app para processos seletivos distribuído por portais falsos.
Após a instalação, esses malwares roubam credenciais bancárias por meio de overlays e coletam dados sensíveis, como códigos multifator (MFA), mensagens SMS e capturas de tela.
Segundo a Zscaler, “os criminosos utilizam trojans bancários sofisticados como Anatsa, ERMAC e TrickMo, que se disfarçam de utilitários ou apps de produtividade, tanto em lojas oficiais quanto alternativas.
Quando instalados, empregam técnicas enganosas para capturar nomes de usuário, senhas e códigos 2FA necessários para autorizar transações”.
Essas descobertas confirmam também o alerta do CERT Polska sobre uma nova linhagem de malware Android chamada NGate (ou NFSkate), que mira usuários de bancos poloneses para roubar dados de cartões via ataques de retransmissão Near Field Communication (NFC).
Os apps maliciosos são distribuídos por phishing via e-mail ou SMS, com mensagens falsas dos bancos sobre problemas técnicos ou incidentes para induzir a instalação.
Ao abrir o app, a vítima é orientada a verificar seu cartão de pagamento aproximando-o da traseira do dispositivo Android.
Isso permite que o malware capture silenciosamente os dados NFC do cartão e os envie para servidores controlados pelos atacantes ou para um app cúmplice, que pode sacar dinheiro em caixas eletrônicos.
O CERT Polska explica que “a campanha permite saques não autorizados em caixas com os cartões das vítimas.
Os criminosos não roubam fisicamente os cartões, mas retransmitem o tráfego NFC do celular da vítima para um dispositivo sob seu controle no caixa eletrônico”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...