Telegram中文网讯:网络安全研究人员披露了一种名为Fantasy Hub 的新型 Android 远程访问木马 (RAT) 的详细信息,该木马以恶意软件即服务 (MaaS) 模式在俄语 Telegram 频道上销售。
据其卖家称,该恶意软件能够控制设备并进行间谍活动,使威胁行为者能够收集短信、联系人、通话记录、图像和视频,以及拦截、回复和删除传入的通知。
Zimperium 研究员 Vishnu Pratapagiri上周在一份报告中表示: “这是一款 MaaS 产品,提供卖家文档、视频和机器人驱动的订阅模式,通过降低准入门槛来帮助新手攻击者。”
“因为它针对金融工作流程(银行的虚假窗口)并滥用短信处理角色(拦截双因素短信),所以它对使用 BYOD 的企业客户以及任何员工依赖手机银行或敏感移动应用程序的组织构成直接威胁。”
该威胁行为者在其为 Fantasy Hub 做的广告中,将受害者称为“猛犸象”,这是俄罗斯 Telegram 网络犯罪分子经常使用的术语。
该网络犯罪解决方案的客户会收到有关创建虚假 Google Play 商店落地页并进行分发的说明,以及绕过限制的步骤。潜在买家可以选择他们想要的图标、名称和页面,从而获得一个精美的页面。
该机器人负责管理付费订阅和构建器访问权限,其设计目的还在于允许攻击者上传任何 APK 文件到该服务,并返回一个嵌入恶意载荷的木马化版本。该服务面向单个用户(即单个活跃会话)开放,每周价格为 200 美元,每月价格为 500 美元。用户还可以选择每年 4,500 美元的订阅方案。
与该恶意软件关联的命令与控制 (C2) 面板提供有关受感染设备的详细信息,以及订阅状态本身的信息。该面板还允许攻击者发出命令来收集各种类型的数据。
Zimperium公司表示:“卖家指示买家创建机器人,获取聊天ID,并配置令牌,以便将一般警报和高优先级警报路由到不同的聊天窗口。这种设计与上个月详细介绍的Android远程控制木马HyperRat非常相似。”
至于恶意软件,它像ClayRAT一样滥用默认短信权限,以获取对短信、联系人、摄像头和文件的访问权限。通过提示用户将其设置为默认短信处理应用,该恶意程序可以一次性获取多个强大的权限,而无需在运行时单独请求权限。
这些投放器应用被发现伪装成 Google Play 更新,以使其看起来合法,并诱骗用户授予其必要的权限。除了使用虚假界面获取与俄罗斯金融机构(例如 Alfa、PSB、T-Bank 和 Sberbank)相关的银行凭证外,该间谍软件还依赖于一个开源项目,通过 WebRTC 实时传输摄像头和麦克风的内容。
Pratapagiri表示:“像Fantasy Hub这样的恶意软件即服务(MaaS)的迅速崛起表明,攻击者可以多么轻易地利用合法的Android组件来实现对设备的完全控制。与仅依赖覆盖层的旧式银行木马不同,Fantasy Hub集成了原生投放器、基于WebRTC的实时流媒体以及对短信处理程序角色的滥用,从而实时窃取数据并冒充合法应用程序。”
此次披露正值 Zscaler ThreatLabz 公布 Android 恶意软件交易量同比增长 67% 之际,主要原因是复杂的间谍软件和银行木马程序。Google Play 应用商店已标记多达 239 款恶意应用,这些应用在 2024 年 6 月至 2025 年 5 月期间的总下载量高达 4200 万次。
在此期间观察到的一些值得注意的 Android 恶意软件家族包括Anatsa(又名 TeaBot 和 Toddler)、Void(又名 Vo1d)以及一种前所未见的 Android RAT,名为 Xnotice,它通过伪装成求职申请应用程序,经由虚假的招聘门户网站分发,以中东和北非地区的石油和天然气行业的求职者为目标。
一旦安装,该恶意软件会通过覆盖层窃取银行凭证,并收集其他敏感数据,例如多因素身份验证 (MFA) 代码、短信和屏幕截图。
该公司表示:“威胁行为者会部署像Anatsa、 ERMAC和TrickMo这样复杂的银行木马程序,这些程序通常伪装成官方和第三方应用商店中的合法实用程序或生产力应用程序。一旦安装,它们就会使用极具欺骗性的技术来窃取用户名、密码,甚至是授权交易所需的双因素身份验证(2FA)代码。”
此次调查结果也与波兰计算机应急响应小组 (CERT Polska) 此前发布的关于名为NGate(又名 NFSkate)的新型安卓恶意软件的警告相呼应。该恶意软件针对波兰银行用户,利用近场通信 (NFC) 中继攻击窃取银行卡信息。恶意应用程序的链接通过伪装成银行邮件或短信的钓鱼邮件或短信传播,这些邮件或短信会警告收件人存在技术问题或安全事件,从而诱使用户安装该应用程序。
受害者启动该应用程序后,会被提示直接在应用程序内验证其支付卡,只需将卡轻触安卓设备背面即可。然而,这样做会导致应用程序悄悄捕获卡片的NFC数据,并将其泄露到攻击者控制的服务器,或者直接泄露到攻击者安装的、用于从ATM机取款的配套应用程序中。
该机构表示: “这项攻击旨在利用受害者自己的支付卡在自动取款机上进行未经授权的取款。犯罪分子不会实际窃取银行卡;他们会将受害者安卓手机上的银行卡近场通信信号传输到攻击者在自动取款机上控制的设备上。”
