Il panorama delle minacce informatiche su Android si arricchisce di un nuovo pericoloso protagonista: il trojan Fantasy Hub, un malware in vendita nei canali Telegram di lingua russa con la formula Malware-as-a-Service (MaaS). Questa soluzione criminale è progettata per consentire il totale controllo dei dispositivi infetti, offrendo agli attaccanti la possibilità di eseguire azioni di spionaggio avanzato. Chi acquista Fantasy Hub può intercettare SMS, accedere a contatti, registri chiamate, immagini, video e manipolare le notifiche, rispondendo o cancellandole a piacimento.

Accessibilità e modalità di distribuzione

Fantasy Hub si distingue per la sua accessibilità anche ai cybercriminali meno esperti grazie a una documentazione dettagliata, tutorial video e un sistema di abbonamento gestito tramite bot su Telegram. È proprio questo modello a basso costo d’ingresso che rende il servizio particolarmente appetibile e pericoloso: per 200 dollari a settimana, 500 al mese o 4500 all’anno, i criminali possono ottenere la possibilità di infettare dispositivi Android, sfruttando false pagine Google Play e bypassando le restrizioni di sicurezza.

Personalizzazione e funzionalità del trojan

Il trojan offre la possibilità di personalizzare la pagina di distribuzione, scegliendo nome, icona e altri dettagli, simulando così un’applicazione legittima. Il servizio permette inoltre di caricare qualsiasi file APK e ricevere una versione modificata con il payload malevolo integrato, pronto per essere diffuso. Il pannello di controllo C2 fornisce informazioni dettagliate sui dispositivi compromessi e consente di impartire comandi per la raccolta di dati sensibili.

Strategie di attacco e tecnologie impiegate

Fantasy Hub sfrutta i privilegi di gestione SMS di Android in modo simile a malware come ClayRAT, inducendo l’utente a impostare l’app come gestore SMS predefinito per ottenere i permessi necessari senza ulteriori richieste. Il dropper si maschera spesso come aggiornamento di Google Play e utilizza overlay falsi per sottrarre credenziali bancarie, con focus particolare su istituti russi come Alfa, PSB, T-Bank e Sberbank. Grazie all’integrazione di tecnologie open source, il malware può trasmettere in tempo reale audio e video tramite WebRTC.

Evoluzione delle minacce Android

La crescita di servizi MaaS come Fantasy Hub testimonia l’evoluzione delle minacce Android, con un aumento del 67% delle transazioni di malware bancario nell’ultimo anno e oltre 42 milioni di download di app malevole solo sul Google Play Store. Nuove famiglie di trojan, tra cui Anatsa, Void e Xnotice, puntano a rubare credenziali, codici MFA, SMS e screenshot. Anche le tecniche di phishing tramite SMS e email si fanno più sofisticate, come nel caso di NGate, che sfrutta attacchi NFC relay per sottrarre dati di carte bancarie.