Nov 12, 2025 Marina Londei
Attacchi, In evidenza, Malware, News, RSS
0
I ricercatori di zImperium zLabs hanno individuato Fantasy Hub, un RAT per Android venduto su canali Telegram russi come Malware-as-a-Service.
Il RAT viene usato principalmente per colpire istituti finanziari (tra i quali Alfa, PSB, Tbank e Sber) implementando pagine di phishing per rubare le credenziali bancarie degli utenti. È possibile sia creare pagine custom che usare quelle pre-impostate presenti nel pacchetto iniziale. Colui (o coloro) che hanno messo in vendita il malware mettono a disposizione dei propri clienti anche delle istruzioni su come creare applicazioni e pagine fake.
Fantasy Hub viene infatti generalmente distribuito tramite finte pagine Google Play Store, complete di recensioni. Il malware viene camuffato da aggiornamento di Google Play o da altra applicazione legittima.
Il malware presenta numerose capacità di cyberspionaggio, a partire dall’accesso completo agli SMS e all’intercettazione degli stessi. Il RAT consente anche di manipolare le notifiche push per renderle invisibili agli utenti e rispondere direttamente ai messaggi, attivare la videocamera e il microfono per la registrazione e lo streaming di video e audio, scattare foto e accedere alla galleria e ai contatti.
Gli acquirenti di Fantasy Hub gestiscono il funzionamento del RAT tramite un pannello dedicato; qui accedono alle informazioni sullo stato dei dispositivi infetti, sul modello e sull’ID utente, sul numero di telefono e sulla scadenza dell’abbonamento al malware. Gli attaccanti hanno a disposizione una guida con tutti i comandi disponibili che possono far eseguire al RAT, per esempio per accedere ai messaggi, attivare la fotocamera e così via.
“La rapida diffusione delle operazioni Malware-as-a-Service (Maas) come Fantasy Hub dimostrano che gli attaccanti possono facilmente trasformare componenti Android legittime in armi per ottenere la totale compromissione dei dispositivi” affermano i ricercatori.
La minaccia di Fantasy Hub è significativa per due motivi: in primo luogo, è un prodotto che viene venduto con tanto di documentazione che lo rende accessibile anche agli attaccanti meno esperti; inoltre, poiché colpisce i flussi bancari e sfrutta l’handler degli SMS, è altamente pericoloso per i dipendenti che utilizzano applicazioni di home banking e che gestiscono informazioni sensibili.
“Con la continua evoluzione dell’offerta MaaS, le organizzazioni devono trattare ogni dispositivo mobile come un potenziale entry point” concludono i ricercatori.
Altro in questa categoria