Cybersecurity-onderzoekers hebben details bekendgemaakt over een nieuwe Android Remote Access Trojan (RAT). Fantasie hub dat wordt verkocht op Russisch sprekende Telegram-kanalen onder een Malware-as-a-Service (MaaS) -model.
Volgens de verkoper maakt de malware apparaatcontrole en spionage mogelijk, waardoor bedreigingsactoren sms-berichten, contacten, oproeplogboeken, afbeeldingen en video’s kunnen verzamelen en inkomende meldingen kunnen onderscheppen, beantwoorden en verwijderen.
“Het is een MaaS-product met verkopersdocumentatie, video’s en een botgestuurd abonnementsmodel dat beginnende aanvallers helpt door een lage toegangsdrempel te bieden”, zei Zimperium-onderzoeker Vishnu Pratapagiri vorige week in een rapport.
“Omdat het zich richt op financiële workflows (nepvensters voor banken) en misbruik maakt van de rol van sms-behandelaar (voor het onderscheppen van 2-factor-sms’jes), vormt het een directe bedreiging voor zakelijke klanten die BYOD gebruiken en voor elke organisatie waarvan de werknemers afhankelijk zijn van mobiel bankieren of gevoelige mobiele apps.”
De bedreigingsacteur verwijst in zijn advertentie voor Fantasy Hub naar slachtoffers als ‘mammoeten’, een term die vaak wordt gebruikt door op Telegram gebaseerde cybercriminelen die vanuit Rusland opereren.
Klanten van de e-crime-oplossing ontvangen instructies met betrekking tot het maken van valse Google Play Store-bestemmingspagina’s voor distributie, evenals de stappen om beperkingen te omzeilen. Potentiële kopers kunnen het pictogram, de naam en de pagina kiezen waarop ze een mooi ogende pagina willen ontvangen.
De bot, die betaalde abonnementen en toegang tot bouwers beheert, is ook ontworpen om kwaadwillende actoren elk APK-bestand naar de service te laten uploaden en een getrojaniseerde versie terug te sturen met de kwaadaardige lading erin ingebed. De dienst is beschikbaar voor één gebruiker (dwz één actieve sessie) voor een wekelijkse prijs van $200 of voor $500 per maand. Gebruikers kunnen ook kiezen voor een jaarabonnement dat $ 4.500 kost.
Het command-and-control (C2)-paneel dat bij de malware hoort, biedt details over de aangetaste apparaten, samen met informatie over de abonnementsstatus zelf. Het paneel biedt aanvallers ook de mogelijkheid om opdrachten uit te voeren om verschillende soorten gegevens te verzamelen.
“Verkopers instrueren kopers om een bot te maken, de chat-ID vast te leggen en tokens te configureren om algemene waarschuwingen en waarschuwingen met hoge prioriteit naar afzonderlijke chats te routeren”, aldus Zimperium. “Dit ontwerp komt nauw overeen met HyperRat, een Android RAT die vorige maand werd gedetailleerd.”
De malware maakt misbruik van de standaard sms-rechten zoals ClayRAT om toegang te krijgen tot sms-berichten, contacten, camera’s en bestanden. Door de gebruiker te vragen deze in te stellen als de standaard app voor het verwerken van sms-berichten, kan het kwaadaardige programma in één keer meerdere krachtige machtigingen verkrijgen in plaats van tijdens runtime om individuele machtigingen te moeten vragen.
Het is gebleken dat de dropper-apps zich voordoen als een Google Play-update om het een laagje legitimiteit te geven en gebruikers te misleiden om het de nodige toestemmingen te verlenen. Naast het gebruik van nep-overlays om bankgegevens te verkrijgen die zijn gekoppeld aan Russische financiële instellingen zoals Alfa, PSB, T-Bank en Sberbank, vertrouwt de spyware op een open-sourceproject om camera- en microfooninhoud in realtime via WebRTC te streamen.
“De snelle opkomst van Malware-as-a-Service (MaaS)-operaties zoals Fantasy Hub laat zien hoe gemakkelijk aanvallers legitieme Android-componenten kunnen bewapenen om volledige apparaatcompromis te bereiken”, aldus Pratapagiri. “In tegenstelling tot oudere banktrojans die uitsluitend afhankelijk zijn van overlays, integreert Fantasy Hub native droppers, op WebRTC gebaseerde livestreaming en misbruik van de rol van sms-handler om gegevens te exfiltreren en in realtime legitieme apps na te bootsen.”
De onthulling komt op het moment dat Zscaler ThreatLabz onthulde dat Android-malwaretransacties jaar-op-jaar met 67% zijn toegenomen, aangedreven door geavanceerde spyware en banktrojans. Maar liefst 239 kwaadaardige applicaties zijn gemarkeerd in de Google Play Store, waarbij de apps tussen juni 2024 en mei 2025 gezamenlijk 42 miljoen keer zijn gedownload.
Enkele van de opmerkelijke families van Android-malware die gedurende de periode werden waargenomen, waren Anatsa (ook bekend als TeaBot en Toddler), Void (ook bekend als Vo1d) en een nog nooit eerder vertoonde Android RAT genaamd Xnotice, die zich richtte op werkzoekenden in de olie- en gassector in de regio’s van het Midden-Oosten en Noord-Afrika door zich voor te doen als sollicitatie-apps die worden verspreid via nep-werkgelegenheidsportals.
Eenmaal geïnstalleerd, steelt de malware bankgegevens via overlays en verzamelt andere gevoelige gegevens zoals multi-factor authenticatie (MFA)-codes, sms-berichten en schermafbeeldingen.
“Bedreigingsactoren zetten geavanceerde banktrojans in, zoals Anatsa, ERMAC en TrickMo, die zich vaak voordoen als legitieme hulpprogramma’s of productiviteitsapps in zowel officiële appstores als die van derden”, aldus het bedrijf. “Eenmaal geïnstalleerd, gebruiken ze zeer misleidende technieken om gebruikersnamen, wachtwoorden en zelfs de tweefactorauthenticatiecodes (2FA) te bemachtigen die nodig zijn om transacties te autoriseren.”
De bevindingen volgen ook op een advies van CERT Polska over nieuwe voorbeelden van Android-malware genaamd NGate (ook bekend als NFSkate) die zich richt op gebruikers van Poolse banken om kaartgegevens te plunderen via Near Field Communication (NFC) relay-aanvallen. Links naar de kwaadaardige apps worden verspreid via phishing-e-mails of sms-berichten die zogenaamd afkomstig zijn van de banken en die de ontvangers waarschuwen voor een technisch probleem of een beveiligingsincident, waardoor ze ertoe worden aangezet de app te installeren.
Bij het starten van de betreffende app wordt het slachtoffer gevraagd zijn betaalkaart rechtstreeks in de app te verifiëren door erop te tikken op de achterkant van het Android-apparaat. Dit zorgt er echter voor dat de app heimelijk de NFC-gegevens van de kaart vastlegt en deze exfiltreert naar een door de aanvaller bestuurde server, of rechtstreeks naar een begeleidende app die is geïnstalleerd door de bedreigingsacteur die geld wil opnemen uit een geldautomaat.
“De campagne is bedoeld om ongeoorloofde geldopnames bij geldautomaten mogelijk te maken met behulp van de eigen betaalkaarten van het slachtoffer”, aldus het agentschap. “Criminelen stelen de kaart niet fysiek; ze sturen het NFC-verkeer van de kaart door van de Android-telefoon van het slachtoffer naar een apparaat dat de aanvaller bestuurt bij een geldautomaat.”
