Fantasy Hub, un nouveau RAT Android, se vend comme un MaaS sur les réseaux Telegram russes

Un nouveau logiciel malveillant fait le buzz dans les arrière-cours du dark web. Fantasy Hub, un RAT Android, est désormais proposé en mode Malware-as-a-Service (MaaS) sur des chaînes Telegram russes.

Les cybercriminels peuvent louer cet outil pour infiltrer les appareils à distance—parce que même le crime se met à la location, comme un Airbnb pour pirates. Les utilisateurs légitimes, eux, continuent de payer pour des applis inutiles—au moins, celles-ci ne volent pas leurs données (en théorie).

Le malware permet un contrôle total de l’appareil infecté : vol de données, espionnage, et même prise de contrôle à distance. Une aubaine pour les fraudeurs, un cauchemar pour la sécurité mobile.

Et pendant ce temps, les géants de la tech continuent de promettre une sécurité infaillible… jusqu’à la prochaine fuite.

Fantasy Hub enseigne aux criminels comment créer de faux comptes Google Play Store.

Selon son vendeur, ce logiciel malveillant permet de contrôler l'appareil et de l'espionner. Il donne ainsi aux cybercriminels accès aux SMS, aux contacts, à l'historique des appels, aux images et aux vidéos, ainsi qu'à la possibilité d'intercepter, de répondre à et de supprimer les alertes entrantes.

Ce logiciel malveillant exploite les privilèges SMS par défaut, à l'instar de ClayRAT, pour accéder aux SMS, aux contacts, à l'appareil photo et aux fichiers. En incitant l'utilisateur à le définir comme application de gestion des SMS par défaut, le programme malveillant obtient simultanément de multiples autorisations importantes, sans avoir à les demander individuellement lors de son exécution.

Les criminels clients de cette solution de lutte contre la cybercriminalité reçoivent des instructions pour créer de fausses pages d'accueil du Google Play Store destinées à la diffusion, ainsi que les étapes à suivre pour contourner les restrictions. Les acheteurs potentiels peuvent choisir l'icône, le nom et la page sur lesquels ils souhaitent obtenir une page à l'apparence soignée.

Le bot gère les abonnements payants et l'accès développeur. Il est également conçu pour permettre aux acteurs malveillants de télécharger n'importe quel fichier APK et de recevoir une version infectée par un cheval de Troie contenant un logiciel malveillant. Le service est disponible par utilisateur au prix de 200 $ par semaine ou 500 $ par mois. Les utilisateurs peuvent également opter pour un abonnement annuel à 4 500 $.

Le panneau de commande et de contrôle (C2) associé au logiciel malveillant fournit des informations détaillées sur les appareils compromis, ainsi que sur l'état de l'abonnement. Ce panneau permet également aux attaquants d'exécuter des commandes pour collecter différents types de données.

Fantasy Hub cible les utilisateurs de services bancaires mobiles

Ces applications malveillantes se font passer pour des mises à jour de Google Play, leur conférant une apparence de légitimité et incitant les utilisateurs à accorder les autorisations nécessaires. Elles utilisent ensuite de fausses interfaces pour obtenir desdentbancaires associés à des institutions financières russes telles qu'Alfa, PSB, T-Bank et Sberbank.

Fantasy Hub intègre des droppers natifs, la diffusion en direct basée sur WebRTC et exploite le rôle de gestionnaire de SMS pour voler des données et usurper l'identité d'applications légitimes en temps réel.

Selon Vishnu Pratapagiri, chercheur chez Zimperium, ce logiciel espion représente une menace directe pour les entreprises utilisant le BYOD (Bring Your Own Device). De plus, les organisations dont les employés utilisent des services bancaires mobiles ou des applications mobiles sensibles sont en difficulté.

 Cette information fait suite aux révélations de Zscaler ThreatLabz selon lesquelles des acteurs malveillants utilisent des chevaux de Troie bancaires sophistiqués, tels qu'Anatsa, ERMAC et TrickMo. Ces logiciels malveillants se font souvent passer pour des utilitaires ou des applications de productivité légitimes, disponibles aussi bien sur les plateformes officielles que sur les plateformes tierces. 

Une fois installés, ils emploient des méthodes très sournoises pour obtenir les noms d'utilisateur, les mots de passe et même les codes d'authentification à deux facteurs (2FA), qui sont nécessaires pour effectuer les transactions.

Par ailleurs, le CERT Polska a mis en garde contre de nouveaux cas de logiciels malveillants Android appelés NGate, qui tentent de voler des informations de carte bancaire à des utilisateurs de banques polonaises via des attaques par relais NFC (Near Field Communication). 

Lorsque la victime ouvre l'application en question, il lui est demandé de prouver l'authenticité de sa carte bancaire en la présentant au dos de son appareil Android. L'application collecte alors discrètement les données NFC de la carte et les envoie soit à un serveur contrôlé par l'attaquant, soit directement à une application associée installée par ce dernier, qui souhaite retirer cash à un distributeur automatique.

Selon les rapports, les transactions utilisant des logiciels malveillants sur Android ont augmenté de 67 % par an. Ces logiciels malveillants exploitent des logiciels espions sophistiqués et des chevaux de Troie bancaires. Environ 239 applications malveillantes ont été signalées sur le Google Play Store. Entre juin 2024 et mai 2025, ces applications ont été téléchargées 42 millions de fois.

Si vous lisez ceci, vous êtes déjà en avance. Restez informés grâce à notre newsletter .