Fantasy HUB: trojan vendido por assinatura no Telegram permite controle total de aparelhos Android

Pesquisadores da equipe Zimperium zLabs identificaram um novo Trojan de Acesso Remoto (RAT) circulando em canais russos do Telegram. Batizado de Fantasy HUB, o software malicioso é ofertado no modelo de assinatura e entrega ao invasor a capacidade de interceptar mensagens, arquivos de mídia e notificações, além de executar comandos em tempo real no dispositivo comprometido.

Quem descobriu o Fantasy HUB e onde ele é comercializado

A descoberta partiu de especialistas em segurança móvel da Zimperium zLabs, que monitoram rotineiramente ambientes de troca de malwares. Segundo o laboratório, o Fantasy HUB é divulgado em canais do Telegram administrados por russos e todo o processo de contratação ocorre dentro da própria plataforma, sem necessidade de contato humano direto. O uso desse mensageiro facilita a criação de comunidades privadas, reduz rastros e acelera transações entre desenvolvedores e compradores de ferramentas ilegais.

O que é o Fantasy HUB e quais dados ele captura

O Fantasy HUB pertence à categoria dos RATs, códigos capazes de estabelecer uma porta de entrada permanente no sistema infectado. Uma vez ativo, ele passa a monitorar e transferir para o operador:

• Mensagens SMS, expondo códigos de autenticação e conversas pessoais;
• Fotos e vídeos guardados na memória interna;
• Notificações de aplicativos, incluindo alertas bancários;
• Histórico de chamadas.

Esses recolhimentos ocorrem de forma silenciosa, sem que sejam exibidos avisos ao usuário. O conjunto de informações subtraído cria um retrato completo da rotina digital da vítima, possibilitando golpes financeiros ou extorsões personalizadas.

Quando e por que o modelo Malware-as-a-Service impulsiona o Fantasy HUB

O Fantasy HUB segue o conceito de Malware-as-a-Service (MaaS), estrutura que replica serviços legítimos de software sob demanda. Nesse formato, o desenvolvedor fornece pacotes prontos, atualizações e suporte técnico contínuo, enquanto o cliente paga taxas periódicas para ter acesso à plataforma. O resultado é a profissionalização da atividade criminosa, já que a barreira técnica para comandar ataques é drasticamente reduzida.

No caso do Fantasy HUB, o aluguel custa US$ 200 por semana, US$ 500 por mês ou US$ 4.500 por ano. Os valores são informados pelo próprio bot de vendas no Telegram, que também libera instruções detalhadas de instalação e uso. Além das licenças, o mesmo bot oferece um serviço extra: basta o comprador enviar um aplicativo legítimo em formato APK e ele devolve a versão adulterada com o RAT embutido.

Como o Fantasy HUB é instalado nas vítimas

Para chegar aos dispositivos-alvo, operadores do Fantasy HUB empregam páginas falsas que imitam a Google Play Store. Essas páginas são acompanhadas de manuais fornecidos no pacote de assinatura, orientando sobre design, texto e certificados digitais que favorecem a credibilidade visual. Quando o usuário confunde a página falsa com a loja oficial e baixa o APK, o telefone é imediatamente contaminado.

Recursos de controle remoto oferecidos ao invasor

Depois da instalação, o Fantasy HUB estabelece comunicação com um servidor de comando e controle. Pelo painel web, o invasor pode executar as seguintes ações:

• Adicionar novos contatos ao aparelho;
• Obter toda a lista de contatos armazenada;
• Reiniciar qualquer aplicativo instalado;
• Compactar pastas internas em arquivos de imagem para exfiltração rápida;
• Responder ou apagar notificações que cheguem à barra superior do Android;
• Realizar download de mídias específicas, como fotos e vídeos recentes;
• Enviar comandos personalizados em linha de texto;
• Consultar e salvar o histórico completo de chamadas.

O conjunto desses comandos entrega ao operador um nível de domínio que se aproxima do controle físico do aparelho, abrangendo desde espionagem passiva até manipulação ativa de conteúdo e serviços.

Alvos já registrados em ataques com o malware

Relatórios da Zimperium indicam que o Fantasy HUB foi empregado contra instituições financeiras. Entre os casos listados estão Alfa, PSB, Tbank e Sber. Embora não haja detalhes públicos sobre a extensão dos danos, a escolha de bancos sugere motivação financeira, seja para interceptar códigos de verificação enviados por SMS ou para obter dados que facilitem invasões secundárias a contas correntes e cartões vinculados aos clientes.

Ferramentas de apoio: painel de controle e automação

Um diferencial do Fantasy HUB é o painel administrativo incluído no pacote de assinatura. Nele, o atacante visualiza em uma única tela todos os dispositivos comprometidos, organizados por identificadores exclusivos. A interface mostra metadados como modelo do aparelho, versão do sistema operacional e horário do último contato, permitindo o envio de instruções em tempo real. Essa centralização poupa esforço manual e amplia o número de vítimas que um único operador consegue gerenciar simultaneamente.

Consequências de uma infecção bem-sucedida

O usuário contaminado perde a confidencialidade de comunicações pessoais, enfrenta risco de fraude financeira e pode ter arquivos íntimos expostos. Além disso, a presença de um RAT eleva a probabilidade de instalação de outras pragas, pois a infraestrutura de comando já está estabelecida. A longo prazo, o aparelho também corre o risco de ser incluído em redes de dispositivos zumbis utilizadas para outros crimes cibernéticos.

Como se proteger do Fantasy HUB e de ameaças semelhantes

A recomendação central derivada dos achados da Zimperium é simples: instalar aplicativos somente de fontes confiáveis. O download direto de APKs fora da loja oficial multiplica a superfície de ataque. Mesmo dentro da Google Play, é indispensável conferir o nome do desenvolvedor, a quantidade de avaliações e as permissões solicitadas. Caso o aplicativo exija acesso ampliado a SMS, contatos e armazenamento sem justificativa clara, o risco deve ser considerado elevado.

Ferramentas adicionais como antivírus móveis podem detectar parte das variantes, mas elas devem ser vistas como uma camada complementar, não como garantia absoluta. A atenção do próprio usuário continua a ser o elemento mais eficaz contra golpes que dependem de engenharia social e páginas fraudulentas.