Serviço malicioso vendido em canais russófonos combina RAT Android, bot de assinatura, builder de APK, abuso do manipulador de SMS, sobreposições bancárias e transmissão por WebRTC.
| Componente | Trojan Android Fantasy Hub, distribuído como RAT em modelo Malware-as-a-Service com bot de Telegram, painel C2 e builder de APK trojanizado. |
| Vetor | Instalação de aplicativos Android disfarçados, incluindo dropper que se apresenta como atualização da Google Play, páginas falsas de distribuição e solicitação para virar aplicativo padrão de SMS. |
| Impacto | Coleta de SMS, contatos, registros de chamadas, imagens, vídeos, arquivos, notificações, credenciais bancárias via sobreposições e possível transmissão de câmera e microfone por WebRTC. |
| Prioridade | Reforçar controle de apps em Android corporativo e BYOD, bloquear instalação fora de lojas confiáveis, monitorar troca de aplicativo padrão de SMS e revisar eventos de MFA por SMS. |
| Artefatos | O serviço inclui documentação para compradores, vídeos, bot de assinatura, painel de dispositivos comprometidos e mecanismo que recebe um APK e devolve uma versão com carga maliciosa embutida. |
| Campanhas relacionadas | O contexto também cita aumento de transações de malware Android, famílias Anatsa, Void, Xnotice, ERMAC, TrickMo e amostras NGate usadas contra clientes de bancos poloneses por relay NFC. |
Fantasy Hub é um trojan de acesso remoto para Android comercializado em canais russófonos de Telegram sob modelo Malware-as-a-Service. O caso é relevante porque o operador do serviço não entrega apenas uma amostra isolada de malware: a oferta reúne documentação, vídeos, um bot de assinatura, acesso a builder e painel de comando e controle. Essa combinação reduz a barreira técnica para compradores menos experientes e transforma o Telegram em ponto de coordenação para cobrança, geração de amostras e recebimento de alertas operacionais.
A capacidade descrita para o malware cobre controle de dispositivo e espionagem móvel. O operador pode coletar mensagens SMS, contatos, registros de chamadas, imagens, vídeos e arquivos, além de interceptar, responder e apagar notificações recebidas. O risco é mais alto quando o aparelho é usado para fluxos financeiros, autenticação multifator por SMS ou acesso a aplicativos sensíveis. Em ambientes BYOD, o mesmo dispositivo pode misturar contas pessoais, apps bancários, mensageria e recursos corporativos, ampliando a exposição caso o usuário conceda as permissões solicitadas pelo dropper.
O serviço também indica uma profissionalização da cadeia de abuso contra Android. Compradores recebem orientação para criar páginas falsas com aparência de Google Play, escolhem ícone, nome e página de distribuição, e podem enviar qualquer APK ao serviço para receber uma versão trojanizada. O painel C2 mostra dispositivos comprometidos e estado da assinatura, enquanto o bot direciona alertas gerais e prioritários para chats separados. A arquitetura se aproxima de outros RATs Android recentes citados no contexto, como HyperRat, e reutiliza uma técnica vista em ClayRAT: abuso do papel de aplicativo padrão de SMS para concentrar permissões poderosas.
A cadeia começa com engenharia social e distribuição de aplicativo disfarçado. O contexto descreve droppers que se passam por atualização da Google Play para induzir confiança e levar o usuário a conceder permissões. Também há instruções para compradores criarem páginas falsas de loja, com elementos personalizados conforme o ícone, o nome e a aparência desejada. Do ponto de vista defensivo, o ponto crítico não é apenas o arquivo APK, mas o ecossistema de entrega: página fraudulenta, narrativa de atualização, instalação fora de fluxo administrado e solicitação de papéis sensíveis no Android.
Depois de instalado, o Fantasy Hub tenta obter controle por meio do papel de manipulador padrão de SMS. Ao convencer o usuário a defini-lo como aplicativo padrão para mensagens, o malware passa a ter acesso a um conjunto de permissões com menos fricção do que teria se pedisse cada permissão separadamente em tempo de execução. Isso sustenta interceptação de SMS, leitura de mensagens usadas em autenticação por dois fatores e coleta de contatos. A capacidade de manipular notificações recebidas aumenta o risco de ocultação de alertas bancários, mensagens de segurança ou solicitações de confirmação, embora o impacto exato dependa dos aplicativos presentes no dispositivo e das permissões efetivamente concedidas.
O componente de fraude financeira usa janelas falsas para bancos, incluindo instituições russas citadas no contexto como Alfa, PSB, T-Bank e Sberbank. Essas sobreposições visam capturar credenciais quando o usuário acredita estar interagindo com o aplicativo legítimo. Além disso, o spyware utiliza um projeto de código aberto para transmitir conteúdo de câmera e microfone em tempo real via WebRTC. Em uma investigação, esse detalhe deve orientar a análise para sessões de mídia incomuns, permissões recentes de câmera e microfone, tráfego compatível com comunicação interativa e eventos próximos à instalação ou atualização suspeita de aplicativo.
A superfície principal são dispositivos Android que permitem instalação de APK fora de canais controlados, usuários expostos a páginas falsas de Google Play e aparelhos que armazenam ou recebem fatores de autenticação por SMS. O risco cresce quando o mesmo dispositivo é usado para banco móvel, mensageria, e-mail corporativo, notificações de identidade e aplicativos internos. Mesmo sem uma exploração de vulnerabilidade no sistema operacional, a cadeia abusa de permissões legítimas e de escolhas do usuário, o que dificulta a prevenção apenas por correção de versão.
Organizações com BYOD devem tratar o caso como ameaça de identidade e endpoint móvel, não apenas como malware bancário. Um celular comprometido pode fornecer códigos MFA por SMS, contatos de interesse, imagens, vídeos, arquivos locais e notificações que revelam fluxos de trabalho. O contexto também mostra que o ecossistema Android malicioso está mais amplo: foram citadas 239 aplicações maliciosas no Google Play com 42 milhões de downloads coletivos entre junho de 2024 e maio de 2025, além de famílias como Anatsa, Void, Xnotice, ERMAC, TrickMo e NGate.
- Dispositivos Android com permissão para instalar APKs fora de lojas ou catálogos administrados.
- Usuários que aceitam trocar o aplicativo padrão de SMS após instalar suposta atualização ou utilitário.
- Ambientes BYOD em que o mesmo aparelho recebe SMS de autenticação, notificações bancárias e mensagens corporativas.
- Contas financeiras ou aplicativos sensíveis suscetíveis a sobreposição de tela e captura de credenciais.
- Telefones com permissões recentes de câmera, microfone, contatos, arquivos e notificações concedidas a aplicativo desconhecido.
A detecção deve combinar telemetria de MDM, proteção móvel, identidade e comportamento do usuário. No endpoint, procure instalação recente de APK não aprovado, mudança do aplicativo padrão de SMS, concessão agrupada de permissões sensíveis e aplicativos que se apresentam como atualização de loja. Em Android administrado, eventos de origem de instalação, reputação do pacote, primeira execução e alterações de papéis do sistema ajudam a reconstruir a linha do tempo sem depender de um indicador único.
Na camada de identidade, investigue falhas ou sucessos de MFA próximos a sinais de comprometimento móvel, principalmente quando o segundo fator usa SMS. Notificações apagadas, ausência inesperada de alertas no aparelho do usuário, redefinições de credenciais ou transações não reconhecidas podem indicar abuso de controle de notificações e interceptação de mensagens. Em rede, a transmissão por WebRTC sugere atenção a sessões de mídia incomuns iniciadas por aplicativo sem justificativa corporativa, sempre correlacionadas com permissão de câmera ou microfone e horário de instalação do aplicativo suspeito.
Para os casos relacionados citados no contexto, o hunting deve ajustar o foco conforme a família. Em Anatsa, ERMAC e TrickMo, priorize sinais de overlay, captura de credenciais e coleta de códigos 2FA. Em Xnotice, observe distribuição por portais falsos de emprego voltados a candidatos no setor de óleo e gás no Oriente Médio e Norte da África. Em NGate, a telemetria relevante inclui fluxo de phishing por e-mail ou SMS, solicitação para verificar cartão no aplicativo e uso de NFC para retransmitir dados a infraestrutura controlada pelo atacante.
- Mudança recente do aplicativo padrão de SMS para app sem histórico ou sem aprovação corporativa.
- Instalação de APK com narrativa de atualização da Google Play fora de canal administrado.
- Permissões de SMS, contatos, câmera, microfone, arquivos e notificações concedidas em sequência curta.
- Sessões WebRTC ou tráfego de mídia originado de app móvel sem função legítima de comunicação.
- Eventos de MFA por SMS, login bancário ou alteração de credenciais próximos à instalação do aplicativo suspeito.
A resposta deve começar pela contenção do dispositivo e pela proteção das contas vinculadas. Em ambiente corporativo, remova o aparelho de políticas de confiança, revogue sessões ativas, force nova autenticação em contas acessadas pelo dispositivo e substitua MFA por métodos resistentes a interceptação quando possível. Se houver suspeita de captura de credenciais bancárias ou corporativas, a rotação deve considerar senhas, tokens de sessão e fatores vinculados ao telefone, não apenas a remoção do aplicativo malicioso.
A prevenção depende de reduzir a possibilidade de sideloading, controlar papéis sensíveis do Android e educar usuários contra falsas atualizações. MDM e EMM devem restringir instalação de fontes desconhecidas, bloquear aplicativos não aprovados, alertar sobre troca de manipulador padrão de SMS e registrar concessões de permissões críticas. Para BYOD, políticas de acesso condicional podem limitar aplicativos corporativos em dispositivos sem postura mínima, com atenção especial a aparelhos que recebem SMS de autenticação para serviços internos.
Também é necessário rever a dependência de SMS em processos financeiros e corporativos. Fantasy Hub demonstra que um RAT Android não precisa quebrar criptografia de um serviço quando consegue virar o aplicativo de SMS e observar notificações. Sempre que possível, substitua SMS por autenticadores mais fortes, chaves de segurança ou autenticação vinculada a dispositivo gerenciado. Após a contenção, valide logs de identidade, histórico de permissões, aplicativos instalados, eventos bancários reportados pelo usuário e qualquer uso de câmera ou microfone não explicado.
- Bloquear sideloading e instalação de APK fora de catálogos aprovados em dispositivos gerenciados.
- Gerar alerta quando um app desconhecido se tornar manipulador padrão de SMS.
- Revogar sessões e revisar MFA de contas usadas no dispositivo suspeito.
- Migrar autenticação por SMS para fatores mais resistentes à interceptação quando o risco operacional permitir.
- Correlacionar eventos de overlay, permissões sensíveis, notificações apagadas e tráfego WebRTC antes de encerrar o incidente.
0 Comentários