¡Alerta de Seguridad! ’Fantasy Hub’: El Nuevo RAT para Android que se Vende como Malware como Servicio en Telegram

Los cibercriminales están vendiendo un nuevo malware para Android a través de canales rusos de Telegram. Llamado 'Fantasy Hub', este RAT (Remote Access Trojan) se ofrece como Malware como Servicio (MaaS), permitiendo a atacantes menos técnicos infiltrarse en dispositivos móviles.

¿Cómo opera? Fantasy Hub promete acceso remoto completo—robo de datos, grabación de audio, y hasta control de apps bancarias. Todo por un módico precio en el mercado negro, porque incluso los delincuentes tienen que diversificar sus ingresos en esta economía.

Las autoridades aún no han emitido un comunicado, pero los expertos recomiendan actualizar dispositivos y evitar descargas sospechosas. Porque, al final, la seguridad cibernética es como las criptomonedas: si no la proteges tú, nadie lo hará por ti.

Fantasy Hub enseña a los delincuentes cómo crear tiendas Google Play falsas.

Según su vendedor, el malware permite el control del dispositivo y el espionaje. Esto otorga a los ciberdelincuentes acceso a mensajes SMS, contactos, registros de llamadas, imágenes y vídeos, así como la capacidad de interceptar, responder y eliminar alertas entrantes.

El malware aprovecha los privilegios predeterminados de SMS, de forma similar a ClayRAT, para acceder a los mensajes SMS, los contactos, la cámara y los archivos. Al solicitar al usuario que lo configure como la aplicación predeterminada para gestionar los SMS, el programa malicioso puede obtener múltiples permisos de gran poder de una sola vez, en lugar de tener que solicitarlos individualmente durante la ejecución.

Los delincuentes que utilizan la solución contra el cibercrimen reciben instrucciones para crear páginas de destino falsas de Google Play Store para su distribución, así como los pasos para eludir las restricciones. Los posibles compradores pueden elegir el icono, el nombre y la página que desean para obtener una página con un aspecto profesional.

El bot gestiona las suscripciones de pago y el acceso de los desarrolladores. Está diseñado para que los ciberdelincuentes puedan subir cualquier archivo APK al servicio y recibir una versión troyanizada con malware integrado. El servicio está disponible por usuario por un precio semanal de 200 $ o un precio mensual de 500 $. Los usuarios también pueden optar por una suscripción anual de 4500 $.

El panel de comando y control (C2) asociado al malware proporciona detalles sobre los dispositivos comprometidos, así como información sobre el estado de la suscripción. Este panel también permite a los atacantes ejecutar comandos para recopilar diversos tipos de datos.

Fantasy Hub está dirigido a usuarios de banca móvil.

Se ha descubierto que estas aplicaciones maliciosas simulan ser una actualización de Google Play, otorgándoles una apariencia de legitimidad y engañando a los usuarios para que concedan los permisos necesarios. Posteriormente, utilizan superposiciones falsas para obtenerdentbancarias asociadas a instituciones financieras rusas como Alfa, PSB, T-Bank y Sberbank.

Fantasy Hub integra programas de descarga nativos, transmisión en vivo basada en WebRTC y explota la función de gestor de SMS para robar datos e imitar aplicaciones legítimas en tiempo real.

Según Vishnu Pratapagiri, investigador de Zimperium, el software espía representa una amenaza directa para las empresas que utilizan dispositivos personales en el trabajo (BYOD). Además, las organizaciones cuyos empleados dependen de la banca móvil o de aplicaciones móviles sensibles se encuentran en peligro.

 Esto se produce después de que Zscaler ThreatLabz revelara que los ciberdelincuentes están utilizando sofisticados troyanos bancarios, como Anatsa, ERMAC y TrickMo. A menudo se asemejan a utilidades o aplicaciones de productividad legítimas tanto en tiendas de aplicaciones oficiales como de terceros. 

Una vez instalados, emplean métodos muy sigilosos para obtener nombres de usuario, contraseñas e incluso códigos de autenticación de dos factores (2FA), que son necesarios para completar las transacciones.

Además, CERT Polska ha alertado sobre nuevos casos de malware para Android llamado NGate, que intenta robar información de tarjetas de usuarios bancarios polacos a través de ataques de retransmisión de comunicación de campo cercano (NFC). 

Cuando la víctima abre la aplicación en cuestión, se le pide que demuestre la autenticidad de su tarjeta de pago acercándola a la parte posterior de su dispositivo Android. La aplicación recopila entonces discretamente los datos NFC de la tarjeta y los envía a un servidor controlado por el atacante o directamente a una aplicación complementaria instalada por el ciberdelincuente, quien pretende retirar cash de un cajero automático.

Según informes, las transacciones que utilizan malware para Android han aumentado un 67 % anual. Este malware se basa en software espía avanzado y troyanos bancarios. Se han reportado en Google Play Store. Entre junio de 2024 y mayo de 2025, estas aplicaciones se descargaron un total de 42 millones de veces.

Si estás leyendo esto, ya estás al tanto. Sigue leyendo nuestro boletín .