Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Fantasy Hub: Il nuovo trojan Android dilaga su Telegram – Spionaggio totale a portata di abbonamento
Il panorama delle minacce informatiche su Android si arricchisce di un nuovo pericoloso protagonista: il trojan Fantasy Hub, un malware in vendita nei canali Telegram di lingua russa con la formula Malware-as-a-Service (MaaS). Questa soluzione criminale è progettata per consentire il totale controllo dei dispositivi infetti, offrendo agli attaccanti la possibilità di eseguire azioni di spionaggio avanzato.
Chi acquista Fantasy Hub può intercettare SMS, accedere a contatti, registri chiamate, immagini, video e manipolare le notifiche, rispondendo o cancellandole a piacimento.
Accessibilità e modalità di distribuzione
Fantasy Hub si distingue per la sua accessibilità anche ai cybercriminali meno esperti grazie a una documentazione dettagliata, tutorial video e un sistema di abbonamento gestito tramite bot su Telegram. È proprio questo modello a basso costo d’ingresso che rende il servizio particolarmente appetibile e pericoloso: per 200 dollari a settimana, 500 al mese o 4500 all’anno, i criminali possono ottenere la possibilità di infettare dispositivi Android, sfruttando false pagine Google Play e bypassando le restrizioni di sicurezza.
Personalizzazione e funzionalità del trojan
Il trojan offre la possibilità di personalizzare la pagina di distribuzione, scegliendo nome, icona e altri dettagli, simulando così un’applicazione legittima. Il servizio permette inoltre di caricare qualsiasi file APK e ricevere una versione modificata con il payload malevolo integrato, pronto per essere diffuso. Il pannello di controllo C2 fornisce informazioni dettagliate sui dispositivi compromessi e consente di impartire comandi per la raccolta di dati sensibili.
Strategie di attacco e tecnologie impiegate
Fantasy Hub sfrutta i privilegi di gestione SMS di Android in modo simile a malware come ClayRAT, inducendo l’utente a impostare l’app come gestore SMS predefinito per ottenere i permessi necessari senza ulteriori richieste. Il dropper si maschera spesso come aggiornamento di Google Play e utilizza overlay falsi per sottrarre credenziali bancarie, con focus particolare su istituti russi come Alfa, PSB, T-Bank e Sberbank. Grazie all’integrazione di tecnologie open source, il malware può trasmettere in tempo reale audio e video tramite WebRTC.
Evoluzione delle minacce Android
La crescita di servizi MaaS come Fantasy Hub testimonia l’evoluzione delle minacce Android, con un aumento del 67% delle transazioni di malware bancario nell’ultimo anno e oltre 42 milioni di download di app malevole solo sul Google Play Store. Nuove famiglie di trojan, tra cui Anatsa, Void e Xnotice, puntano a rubare credenziali, codici MFA, SMS e screenshot. Anche le tecniche di phishing tramite SMS e email si fanno più sofisticate, come nel caso di NGate, che sfrutta attacchi NFC relay per sottrarre dati di carte bancarie.