HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一款名为 “Fantasy Hub” 的新型安卓远程访问木马(RAT)。该恶意软件以 “恶意软件即服务(MaaS)” 模式,在俄语 Telegram 频道上售卖。
据卖家介绍,这款恶意软件可实现设备控制与窃密功能,能让威胁者收集短信、联系人、通话记录、图片和视频,还可拦截、回复及删除 incoming 通知。
Zimperium 研究员维什努・普拉塔帕吉里在上周的报告中表示:“它是一款配备卖家文档、视频教程和机器人驱动订阅模式的 MaaS 产品,降低了入门门槛,方便新手攻击者使用。”
“由于它瞄准金融操作流程(伪造银行弹窗)并滥用短信处理权限(拦截双因素认证短信),因此对采用自带设备办公(BYOD)的企业客户,以及员工依赖移动银行或敏感移动应用的任何组织,都构成直接威胁。”
该威胁者在 Fantasy Hub 的广告中,将受害者称为 “猛犸象”—— 这一术语常被俄语区 Telegram 网络犯罪分子使用。
这款网络犯罪工具的买家会收到相关指导,包括创建用于分发的伪造谷歌应用商店(Google Play Store)落地页,以及绕过限制的步骤。潜在买家可自定义图标、名称和页面内容,获得外观精美的伪装页面。
管理付费订阅和生成器访问权限的机器人,还支持威胁者上传任意 APK 文件,随后返回嵌入恶意有效载荷的篡改版本。该服务的订阅方案为:单用户(即一个活跃会话)每周 200 美元、每月 500 美元,也可选择每年 4500 美元的年度订阅。
与该恶意软件关联的命令与控制(C2)面板,会显示受攻陷设备的详细信息及订阅状态,还能让攻击者下发指令收集各类数据。
Zimperium 指出:“卖家指导买家创建机器人、获取聊天 ID 并配置令牌,将普通警报和高优先级警报路由至不同聊天窗口。这种设计与上月披露的安卓 RAT‘HyperRat’高度相似。”
这款恶意软件借鉴了 ClayRAT 的手法,滥用默认短信权限获取短信、联系人、相机和文件访问权。它会诱导用户将其设为默认短信处理应用,从而一次性获取多项高级权限,无需在运行时逐一申请。
已发现的投放程序(dropper app)会伪装成谷歌应用商店更新,以营造合法性,诱骗用户授予必要权限。除了通过伪造弹窗窃取阿尔法银行(Alfa)、PSB 银行、T 银行(T-Bank)和俄罗斯联邦储蓄银行(Sberbank)等俄罗斯金融机构的银行凭证外,这款间谍软件还借助开源项目,通过 WebRTC 实时流式传输摄像头和麦克风内容。
普拉塔帕吉里表示:“Fantasy Hub 这类 MaaS 服务的快速崛起,表明攻击者能轻易利用安卓合法组件实现设备完全攻陷。与仅依赖弹窗的老式银行木马不同,Fantasy Hub 整合了原生投放程序、基于 WebRTC 的实时流传输和短信处理权限滥用功能,可实时窃取数据并伪装成合法应用。”
与此同时,Zscaler ThreatLabz 披露,受精密间谍软件和银行木马推动,安卓恶意软件交易同比增长 67%。2024 年 6 月至 2025 年 5 月期间,谷歌应用商店已标记出 239 款恶意应用,总下载量达 4200 万次。
同期观测到的知名安卓恶意软件家族包括 Anatsa(又称 TeaBot、Toddler)、Void(又称 Vo1d),以及一款名为 Xnotice 的新型安卓 RAT。该木马伪装成招聘应用,通过虚假招聘网站分发,专门针对中东和北非地区石油天然气行业的求职者。
这些恶意软件安装后,会通过弹窗窃取银行凭证,并收集多因素认证(MFA)码、短信和截图等其他敏感数据。
Zscaler 表示:“威胁者部署了 Anatsa、ERMAC 和 TrickMo 等精密银行木马,这些木马常伪装成合法工具或办公应用,出现在官方应用商店和第三方应用商店中。安装后,它们会采用高度欺骗性技术,窃取交易授权所需的用户名、密码乃至双因素认证(2FA)码。”
此前,波兰计算机应急响应小组(CERT Polska)也曾发布预警,提醒一款名为 NGate(又称 NFSkate)的安卓恶意软件新样本。该木马针对波兰银行用户,通过近场通信(NFC)中继攻击窃取银行卡信息。恶意应用链接通过钓鱼邮件或短信分发,这些信息伪称来自银行,以 “技术问题” 或 “安全事件” 为由,诱导用户安装应用。
受害者启动该应用后,会被要求将支付卡贴近安卓设备背面,在应用内直接验证。而这一操作会导致应用秘密捕获银行卡的 NFC 数据,并将其窃取至攻击者控制的服务器,或直接发送至攻击者安装的配套应用,以便在 ATM 机取现。
该机构表示:“此次攻击活动旨在利用受害者自身的支付卡,在 ATM 机进行未授权取现。犯罪分子无需物理盗取银行卡,只需将受害者安卓手机中的 NFC 流量,中继至攻击者在 ATM 机旁控制的设备即可。”
...
