Fantasy Hub: Android RAT MaaS с WebRTC и перехватом SMS

Исследование выявило «Fantasy Hub» — троян для удалённого доступа к Android (RAT), распространяющийся по модели MaaS и предлагаемый преимущественно на русскоязычных площадках. Вредоносное ПО обладает широким набором функций для наблюдения, кражи данных и компрометации финансовых операций, при этом разработчики стараются снизить порог входа для менее опытных злоумышленников, предоставляя подробную документацию, видеоуроки и вспомогательные инструменты.

Ключевые возможности

• Сбор SMS, контактов и журналов вызовов;
• Массовое извлечение изображений и видео с устройства;
• Перехват входящих уведомлений с возможностью отвечать и удалять их;
• Перехват роли SMS role handler, что позволяет получать доступ к сообщениям и возможностям обмена без запроса отдельных разрешений;
• Использование WebRTC для стриминга аудио и видео в реальном времени — скрытный доступ к камерам и микрофонам;
• Функции фишинга: развёртывание готовых и кастомных окон под банки для перехвата учётных данных и подтверждений;
• Интеграция Telegram‑бота для управления подписками и добавления функционала dropper к пользовательским APK;
• Командное управление: возможность выполнять команды для чтения SMS, журналов вызовов, списка установленных приложений и передачи данных на C2;
• Модель распространения и поддержки — полноценный сервис с документацией и обучающим контентом для покупателей.

Технические особенности

«Fantasy Hub» демонстрирует сочетание нескольких современных приёмов, которые делают его особенно опасным:

• Работа в модели MaaS — злоумышленнику не нужно разрабатывать собственный ботнет или инструментарий;
• Наличие Telegram‑бота, упрощающего управление, подписки и модификацию APK (dropper);
• Использование WebRTC для организации скрытого стриминга аудио/видео в реальном времени;
• Интеграция integration of native dropper in a library, затрудняющая детектирование на уровне традиционных сканеров;
• Эксплуатация разрешений SMS по умолчанию и захват роли SMS role handler для обхода отдельных запросов разрешений.

Фишинговые возможности и нацеленность на финансовые учреждения

Отдельного внимания заслуживает фишинговая часть: платформа предоставляет инструменты для создания как типовых, так и специально подготовленных под конкретные банки окон. Это позволяет злоумышленникам:

• имитировать интерфейсы мобильных банков;
• перехватывать учётные данные и одноразовые коды;
• встраиваться в финансовые рабочие процессы жертв и обходить меры защиты, основанные на SMS‑OTP.

Тактики уклонения и аналогии с другими угрозами

Вредоносное ПО использует несколько приёмов для снижения обнаружимости и повышения устойчивости:

• интеграция «native dropper» в библиотеку, что усложняет статический и сигнатурный анализ;
• использование стандартных SMS‑разрешений и захват роли обработчика SMS для доступа к сообщениям без явного подтверждения пользователем;
• похожесть по поведению на другие Android‑spyware, например ClayRat, в части сбора сообщений и журналов;
• встроенные механизмы управления через C2 и Telegram, упрощающие масштабирование кампаний.

Риски для пользователей и финансовых организаций

Последствия успешной компрометации устройства с «Fantasy Hub» включают:

• утечку персональных данных и медиафайлов;
• перехват SMS и уведомлений — возможность обхода SMS‑OTP и MFA, использующих SMS;
• скрытую слежку через камеру и микрофон;
• компрометацию банковских аккаунтов через фишинговые интерфейсы;
• массовое развёртывание за счёт простоты использования сервиса.

Рекомендации по защите

• Не устанавливайте APK из сторонних источников и проверяйте репутацию площадок и разработчиков;
• Контролируйте, какие приложения назначены как SMS role handler, и давайте эту роль только доверенным программам;
• Отключайте либо ограничивайте доступ к камере и микрофону для приложений, которым это не требуется постоянно;
• Банкам: переходить с SMS‑OTP на более защищённые методы подтверждения (push‑уведомления в приложении, аппаратные токены, FIDO2) и мониторить подозрительную фишинговую активность;
• Командам по безопасности: актуализировать правила детектирования для выявления native dropper в библиотеках и следить за аномалиями сетевого трафика, в том числе WebRTC‑сессий.

«Fantasy Hub предоставляет не только инструмент, но и сервис — с документацией, видеоуроками и ботом, что делает угрозу доступной для широкого круга злоумышленников».

Заключение

«Fantasy Hub» — пример современной коммерческой угрозы, сочетающей функциональность шпионского ПО и удобство сервиса. Комбинация перехвата SMS через роль обработчика, WebRTC‑стриминга и фишинговых инструментов делает его серьёзной проблемой для пользователей мобильного банкинга и организаций, защищающих клиентские средства и данные. Своевременные меры контроля установок, ограничение привилегий приложений и отказ от уязвимых схем аутентификации помогут снизить риски.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Fantasy Hub: Android RAT MaaS с WebRTC и перехватом SMS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.