Androidowy trojan „Fantasy Hub”: Telegram jako panel MaaS, nadużycie roli SMS i podsłony bankowe - Security Bez Tabu

Androidowy trojan „Fantasy Hub”: Telegram jako panel MaaS, nadużycie roli SMS i podsłony bankowe

Wprowadzenie do problemu / definicja luki

Badacze ujawnili nowy komercyjny złośliwy pakiet na Androida – Fantasy Hub – sprzedawany w modelu Malware-as-a-Service (MaaS) na rosyjskojęzycznych kanałach Telegrama. To RAT/spyware oferujący zdalną kontrolę nad urządzeniem: kradzież SMS-ów, kontaktów, logów połączeń, multimediów, przechwytywanie/odpowiadanie/ukrywanie powiadomień oraz podsłony bankowe. Dystrybucję ułatwia bot subskrypcyjny i generator „trojanizowanych” APK, który po wgraniu dowolnego pliku instalacyjnego zwraca jego zainfekowaną wersję.

W skrócie

  • Model biznesowy: pełny MaaS z botem Telegram do zarządzania subskrypcją i builderem droppera; cennik w ujęciu tygodniowym/miesięcznym/rocznym.
  • Techniki kluczowe:
    • Native dropper w bibliotece metamask_loader odszyfrowujący zaszyty w assetach ładunek (XOR + gzip) – redukcja wskaźników statycznych.
    • Nadużycie roli „domyślnej aplikacji SMS” – jedna akceptacja = pakiet silnych uprawnień i dostęp do 2FA przez SMS.
    • WebRTC do streamingu audio/wideo na żywo (kamera/mikrofon) do C2.
    • Podsłony bankowe (Alfa, PSB, T-Bank, Sber) + możliwość tworzenia własnych okien phishingowych.
  • Wejście do łańcucha ataku: fake aktualizacje Google Play, fałszywe landing pages Google Play z opiniami, trojanizacja dowolnego APK przez usługę.
  • Skala trendu: wzrost transakcji związanych z malware na Androida; setki złośliwych aplikacji w oficjalnym sklepie wg ThreatLabz.

Kontekst / historia / powiązania

Fantasy Hub wpisuje się w trend komodytyzacji spyware/banking trojanów: łatwe panele C2, abonamenty, wsparcie „operatora”, a nawet poradniki socjotechniczne. Zimperium łączy wzorce operacyjne z wcześniejszymi rodzinami ClayRAT (nadużycie roli SMS) i HyperRat (integracja z Telegramem). Równolegle ThreatLabz raportuje 67% r/r wzrost aktywności malware mobilnego i dziesiątki milionów instalacji szkodliwych aplikacji z Google Play (2024–2025). W regionie CEE widzimy dodatkowo kampanie NFC-relay (np. NGate wymierzone w polskie banki), co wskazuje na dywersyfikację taktyk przeciwko kanałom płatności i autoryzacji.

Analiza techniczna / szczegóły luki

Łańcuch infekcji

  1. Wejście: ofiara trafia na sfałszowaną kartę Google Play (klony Telegrama i inne), bądź otrzymuje APK „aktualizacji Google Play”.
  2. Dropper (native): biblioteka metamask_loader w runtime odszyfrowuje i dekompresuje zaszyty ładunek (metadata.dat) → zapis na dysk → uruchomienie. Cel: ukrycie wskaźników statycznych przed skanerami.
  3. Eskalacja uprawnień przez UX: aplikacja żąda ustawienia jako domyślna aplikacja SMS, co automatycznie agreguje szerokie uprawnienia (czytanie/zarządzanie SMS, dostęp do kontaktów, kamer, plików).
  4. Komunikacja/C2:
    • Integracja z Telegramem – konfiguracja botów, rozdział alertów o różnym priorytecie, automatyzacja powiadomień o nowych ofiarach.
    • Panel C2 (rosyjskojęzyczny) pokazuje status urządzeń (online/offline), model, SIM-y, czas subskrypcji; pozwala wysyłać komendy (SMS, kontakty, powiadomienia, zrzuty, itp.).
    • WebRTC live stream – pobieranie bibliotek i cichy streaming A/V; system wyświetla krótką adnotację o aktywnym streamie.
  5. Monetyzacja: podsłony bankowe (wielokrotne „launcher icons” via activity-alias → WebView z phishingiem + JS-bridge) oraz przechwytywanie 2FA przez SMS.

Cennik i automatyzacja dystrybucji
Bot oferuje upload dowolnego APK → zwrot trojanizowanego APK; płatności w modelu tygodniowym/miesięcznym/rocznym. Ta automatyzacja obniża próg wejścia dla „operatorów-amatorów”.

Praktyczne konsekwencje / ryzyko

  • BYOD i dostęp korporacyjny: przejęte urządzenie = ryzyko wycieku danych firmowych (M365/Google Workspace), eskalacja przez MFA-SMS i przejęcie sesji.
  • Bankowość i płatności: kradzież poświadczeń przez overlay + 2FA w SMS → transakcje nieautoryzowane, social engineering z potwierdzeniami w czasie rzeczywistym.
  • Prywatyzacja nadzoru: live streaming kamerą/mikrofonem umożliwia podsłuch i rekonesans fizyczny (np. ekrany komputerów podczas pracy zdalnej).
  • Sklepy z aplikacjami: nawet oficjalne repozytoria nie są wolne od ryzyka (dziesiątki milionów instalacji złośliwych aplikacji wg ThreatLabz).

Rekomendacje operacyjne / co zrobić teraz

Strategia „zmniejsz zaufanie do SMS”

  • Wycofuj SMS jako główny drugi składnik w dostępie do systemów firmowych. Preferuj FIDO2/WebAuthn lub TOTP w zabezpieczonych kontenerach. (Uzasadnienie: rola domyślnej aplikacji SMS daje napastnikowi pełną kontrolę nad 2FA)

Polityki Android Enterprise / MDM

  • Wymuś instalację tylko z Google Play i blokuj „Nieznane źródła”, a także Private/Managed Play z allowlistą.
  • Zabroń zmiany domyślnej aplikacji SMS lub monitoruj eventy przekazania roli ROLE_SMS (Device Policy/Enterprise Mobility).
  • Blokuj nakładki (draw-over-other-apps) dla aplikacji spoza listy zaufanych – ogranicza skuteczność podsłon bankowych.
  • Włącz Play Protect/attestation i SafetyNet/Play Integrity oraz wymuś aktualność łatek (min. „Android security patch level” w MDM).

Twarde kontenery i zarządzanie danymi

  • W BYOD, preferuj Work Profile; wymuś, by aplikacje firmowe działały wyłącznie w profilu służbowym i nie dzieliły danych z profilem prywatnym.

Detekcja w SOC/MTD

  • Zastosuj Mobile Threat Defense (np. skanowanie behawioralne, wykrywanie „default SMS app change”, nadmiarowych uprawnień, runtime-hooków, WebRTC stream w tle, rejestrowanie requestów do zasobów C2). (Mechanizmy te opisuje m.in. Zimperium w kontekście detekcji Fantasy Hub.)
  • Monitoruj zdarzenia Accessibility Service + SYSTEM_ALERT_WINDOW, rejestrowanie intentów ROLE_SMS, prób overlay/phishing (WebView z wstrzykniętym JS-bridge).

Higiena użytkownika

  • Nie instaluj „aktualizacji Google Play” spoza sklepu, nie dawaj roli „domyślna aplikacja SMS” aplikacjom spoza listy zaufanych.
  • Zwracaj uwagę na ekran streamingu (Android system potrafi sygnalizować aktywny podgląd kamery/mikrofonu).

Szybkie playbooki IR (przykładowe kroki)

# 1) Identyfikacja (ADB lokalnie – urządzenie użytkownika)
adb shell cmd role holders android.app.role.SMS   # sprawdź, kto ma rolę SMS
adb shell pm list packages -3                     # lista aplikacji stron trzecich
adb shell dumpsys activity top | head -n 50       # aktywne aktywności (szukaj podejrzanych WebView/overlay)
adb shell cmd appops query-op CAMERA              # dostęp do kamery/mikrofonu

# 2) Kwarantanna
adb shell am force-stop <podejrzany.pkg>
adb shell pm uninstall --user 0 <podejrzany.pkg>  # tylko za zgodą użytkownika/IR-procedury
adb shell cmd role set-browser none               # tymczasowe odcięcie niestandardowych przeglądarek, jeśli uzasadnione

# 3) Triage artefaktów
adb shell run-as <podejrzany.pkg> ls files/
adb shell logcat -d | grep -i webrtc

Uwaga: operacje ADB wykonuj wyłącznie w kontrolowanym IR, z politykami RODO i zgodą właściciela urządzenia. W środowiskach zarządzanych preferuj akcje MDM (wipe profilu służbowego, blocklist, reset roli SMS).

Reguły detekcyjne – pomysły (do adaptacji)

  • SIEM: alert, gdy ROLE_SMS zmieniona na aplikację spoza allowlisty; koreluj z żądaniami sieciowymi do Telegram API i nietypową telemetrią WebRTC.
  • NTA/Proxy: anomalie WebRTC/ICE/STUN z urządzeń mobilnych poza godzinami pracy; outbound do znanych punktów C2 (gdy IoC dostępne).
  • EDR mobilny/MTD: sygnatury bibliotek metamask_loader, asset metadata.dat, dekompresje gzip w natywnych libach + XOR-pattern (36-bajtowy klucz) – na bazie opisu badaczy.

Różnice / porównania z innymi przypadkami

  • ClayRAT – podobne przejęcie roli SMS jako pojedyncza zgoda = szerokie kompetencje aplikacji. Fantasy Hub intensywnie korzysta z tego wektora.
  • HyperRatarchitektura z Telegramem do notyfikacji i zarządzania, zbliżona koncepcja integracji botów.
  • Anatsa/ERMAC/TrickMo – ciężar na podsłony bankowe i wyłudzenie danych uwierzytelniających; Fantasy Hub łączy to z live-streamingiem i builderem droppera (większa „kompletność” narzędzia).
  • NGate (NFC-relay, PL) – inna technika (atak na zbliżeniowe płatności), ale podobny cel: obchodzenie mechanizmów autoryzacji w ekosystemie mobilnym.

Podsumowanie / kluczowe wnioski

Fantasy Hub pokazuje, jak niskim kosztem można dziś prowadzić pełnoskalowe operacje na Androidzie: builder trojanizujący, panel C2, automat subskrypcji i instrukcje socjotechniczne. Najgroźniejsze komponenty to rola domyślnej aplikacji SMS (2FA), podsłony bankowe i WebRTC live-stream. Dla SOC najważniejsze jest odchodzenie od SMS-2FA, twarde polityki Android Enterprise, oraz telemetria MTD kładąca nacisk na zmiany roli SMS, overlaye i anomalię WebRTC.

Źródła / bibliografia

  1. The Hacker News – Android Trojan 'Fantasy Hub’ Malware Service Turns Telegram Into a Hub for Hackers, 11 listopada 2025. (The Hacker News)
  2. Zimperium (zLabs) – Fantasy Hub: Another Russian Based RAT as M-a-a-S, 6 listopada 2025. (Zimperium)
  3. Zscaler ThreatLabz – Industry Attacks Surge, Mobile Malware Spreads: The ThreatLabz 2025 Mobile, IoT & OT Report. (zscaler.com)
  4. CERT Polska – Analysis of NGate malware campaign (NFC relay), 2025. (cert.pl)