Fantasy Hub es un nuevo troyano de acceso remoto (RAT) para Android vendido en canales rusoparlantes de Telegram bajo un modelo de Malware-as-a-Service. Permite a los atacantes tomar control del dispositivo, robar SMS, contactos, credenciales bancarias y hasta activar la cámara y el micrófono en tiempo real.
Su plataforma automatizada permite generar apps falsas y versiones troyanizadas de APK legítimos, lo que facilita su uso incluso para atacantes sin experiencia.
Este caso se suma al aumento significativo del malware móvil, donde otras amenazas como Anatsa, Void y Xnotice también han proliferado, aprovechando permisos abusivos, superposiciones bancarias y técnicas avanzadas para robar dinero, datos sensibles y códigos de autenticación.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Infecta dispositivos mediante aplicaciones cuentagotas (droppers) que se hacen pasar por actualizaciones de Google Play. Una vez instalado, fuerza al usuario a configurarlo como la app de SMS predeterminada, obteniendo permisos amplios para interceptar mensajes, incluidos códigos 2FA.
También utiliza superposiciones falsas para robar credenciales bancarias y transmite en tiempo real la cámara y el micrófono usando WebRTC.
Su bot de Telegram permite cargar cualquier APK para generar versiones troyanizadas y gestionar suscripciones. El panel C2 muestra dispositivos comprometidos y permite ejecutar comandos para recopilar datos.
Esta operación imita a otros RAT modernos y demuestra cómo los atacantes combinan droppers, roles de SMS y técnicas de suplantación para lograr compromisos completos del dispositivo y saquear información financiera.
