Fantasy Hub špijunira Android

AUTOR ·

Fantasy Hub je Android trojanac za udaljeni pristup (eng. remote access trojan – RAT). Ovaj zlonamjerni softver koristi napredne tehnike izbjegavanja, što mu omogućava da zaobiđe tradicionalne bezbjednosne mjere i ostane neprimijećen na kompromitovanim uređajima. Na to ukazuje istraživanje kompanije Zimperium.

Fantasy Hub

Fantasy Hub špijunira Android, Source: Bing Image Creator

FANTASY HUB

Pojava Fantasy Hub zlonamjernog softvera značajno je proširila prostor prijetnji za korisnike Android uređaja, naročito u okruženjima tipa “donesi svoj uređaj” (eng. bring-your-own-device – BYOD), gdje se prepliće lična i poslovna upotreba uređaja. Njegova sposobnost da presreće poruke, zapise poziva i druge osjetljive podatke čini ga ozbiljnim izazovom za bezbjednosne timove koji štite imovinu organizacija.

Fantasy Hub se oslanja na dobro organizovanu kriminalnu infrastrukturu. Operateri ga reklamiraju na Telegram platformi, koristeći pretplatnički bot koji upravlja pristupom i obezbjeđuje uslugu ubacivanja zlonamjernog softvera. Ovakav poslovni model tipičan je za operacije poznate kao zlonamjerni softver kao usluga (eng. malware-as-a-Service – MaaS), gdje se zlonamjerni softver nudi kao proizvod ili usluga drugim akterima.

Pristup zasnovan na modelu zlonamjernog softvera kao usluge (MaaS) ključni je faktor širenja Fantasy Hub zlonamjernog softvera među manje iskusnim zlonamjernim akterima. Nudeći napredni trojanac za udaljeni pristup (RAT) po pristupačnoj cijeni, operateri su smanjili barijeru za ulazak pojedincima koji nemaju veliko tehničko znanje, ali žele da se uključe u zlonamjerne aktivnosti.

Fantasy Hub RAT je posebno dizajniran da izbjegne otkrivanje od strane bezbjednosnog softvera i analitičara. To organizacijama otežava identifikaciju i ublažavanje njegovog prisustva na kompromitovanim uređajima. Zahvaljujući naprednim tehnikama izbjegavanja, ovaj zlonamjerni softver ostaje neprimijećen čak i u okruženjima dinamičke analize, što dodatno komplikuje napore da se razumiju i suprotstave njegovim mogućnostima.

 

Mjere izbjegavnja otkrivanja

Zlonamjerni softver Fantasy Hub koristi izvorni softver za ubacivanje kako bi izvršavao svoj sadržaj, pri čemu je čitav pristup osmišljen da izbjegne otkrivanje od strane antivirusnih rješenja. Ona se uglavnom oslanjaju na statičke indikatore, poput sažetaka podataka (eng. hash) datoteka i potpisa. Softver za ubacivanje primjenjuje prilagođenu XOR rutinu sa fiksnim obrascem ključa od 36 bajtova, kojom se dešifruje datoteka metadata.dat. Nakon toga, gzip dekompresija otkriva stvarni korisni sadržaj, koji se zatim aktivira tokom rada. Na ovaj način Fantasy Hub ostaje neotkriven tradicionalnim bezbjednosnim mjerama, otežavajući braniocima da identifikuju i ublaže njegovo prisustvo.

Upotreba prilagođene XOR rutine sa fiksnim obrascem ključa pokazuje kako zlonamjerni akteri koriste jednostavne, ali efikasne tehnike šifrovanja da prikriju svoj kôd. Kombinovanjem poznatog algoritma sa naizgled bezopasnom bibliotekom kao što je metamask_loader, programeri Fantasy Hub zlonamjernog softvera stvorili su prikriveni mehanizam isporuke koji se besprijekorno uklapa u ekosistem legitimnog softvera.

Izvršavanje zlonamjernog sadržaja tokom rada je takođe značajno, jer omogućava da Fantasy Hub zlonamjerni softver ostane neaktivan dok ga ne aktivira komandno-kontrolna (C2) infrastruktura. Takav pristup smanjuje digitalni otisak i štedi resurse, a istovremeno zadržava sposobnost da izvrši zlonamjerne operacije kada mu se to naloži.

Dodatno, korištenje izvornog softvera za ubacivanje unutar legitimne biblioteke kao što je metamask_loader naglašava važnost praćenja ažuriranja i oslanjanja isključivo na pouzdane izvore prilikom instalacije. Maskirajući se kao originalno ažuriranje ili ispravka, programeri Fantasy Hub zlonamjernog softvera primjenjuju taktiku društvenog inženjeringa osmišljenu da prevari korisnike i navede ih da odobre nepotrebne dozvole.

Tehnička sofisticiranost Fantasy Hub zlonamjernog softvera u mehanizmu isporuke posebno dolazi do izražaja u poređenju sa drugim varijantama koje se oslanjaju na jednostavnije metode, poput phishing elektronske pošte ili iskorištavanja bezbjednosnih propusta. Korištenjem biblioteke metamask_loader i prilagođenih tehnika šifrovanja, Fantasy Hub pokazuje sposobnost prilagođavanja i evolucije u okviru stalno promjenljivog pejzaža prijetnji po sajber bezbjednost.

Funkcionisanje i mogućnosti

Programeri Fantasy Hub zlonamjernog softvera posebno su konfigurisali phishing funkcionalnost usmjerenu na glavne ruske finansijske institucije, među kojima su Alfa, PSB, Tbank i Sber. Cilj ovakvog pristupa jeste da obmane korisnike i navede ih da daju nepotrebne dozvole ili instaliraju softver koji može ugroziti njihove osjetljive podatke.

Osnovna namjena ovog zlonamjernog softvera jeste kreiranje lažnih prozora bankarskih aplikacija. Oni su dizajnirani da izgledaju uvjerljivo i da prevare korisnike, navodeći ih da otkriju informacije poput prijavnih podataka i detalja o platnim karticama.

Takvi prozori nastaju korištenjem activity-alias unosa u osnovnom kôdu Fantasy Hub softvera. Time se omogućava da više ikonica pokretača upućuje na jednu kompromitovanu komponentu, što dodatno otežava razlikovanje legitimnih aplikacija od zlonamjernih. Kada se aktiviraju, ikonice otvaraju dozvoljene WebView instance koje prikazuju phishing stranice sa JavaScript vezama.

 

JavaScript veze

Prisustvo JavaScript veza omogućava krađu podataka tako što zlonamjerni akteri presreću osjetljive informacije unijete u lažne bankarske prozore. Ovakva manipulacija postiže se korištenjem internet okruženja koja oponašaju mobilne aplikacije pravih finansijskih institucija, čime se stvara uvjerljiv lažni prikaz.

Programeri Fantasy Hub zlonamjernog softvera obezbijedili su detaljnu dokumentaciju i video uputstva, namijenjena potencijalnim kupcima, koja pokazuju kako da kreiraju prilagođene bankarske prozore sa poljima za PIN, lozinku i podatke o kartici. Ovaj nivo prilagođavanja omogućava da phishing kampanje budu usmjerene na specifične ciljeve unutar velikih finansijskih institucija.

Pripremom prozora koji veoma podsjećaju na aplikacije koje koriste ciljani subjekti, Fantasy Hub je postao efikasan alat za krađu osjetljivih informacija od neslutećih korisnika. Dodatno, korištenje activity-alias unosa u kôdnoj bazi omogućava formiranje više ikona pokretača koje vode ka jednoj kompromitovanoj komponenti. Na taj način korisnicima postaje teže da prepoznaju i uklone zlonamjerne aplikacije, jer na prvi pogled izgledaju legitimno.

Prisustvo dozvoljenih WebView instanci koje sadrže phishing stranice sa JavaScript vezama dodatno komplikuje proces, jer se stvara složenija mreža obmane koja otežava razlikovanje pravih aplikacija od lažnih.

 

SMS poruke

Primarna funkcija Fantasy Hub zlonamjernog softvera jeste presretanje, odgovaranje i brisanje SMS poruka koje se razmjenjuju između mobilnih uređaja korisnika i finansijskih institucija. Ova mogućnost predstavlja direktnu prijetnju mehanizmima autentifikacije u dva koraka (eng. two-factor authentication – 2FA), koje mnoge organizacije koriste radi zaštite korisničkih naloga i transakcija.

Kada je aktiviran, Fantasy Hub može presresti dolazne SMS poruke namijenjene legitimnim bankarskim aplikacijama ili drugim uslugama koje se oslanjaju na provjeru zasnovanu na SMS komunikaciji. Zlonamjerni softver zatim koristi te podatke da odgovori lažnim potvrdnim kôdovima ili da potpuno izbriše originalnu poruku, čime efikasno zaobilazi bezbjednosne kontrole osmišljene da spriječe neovlašteni pristup.

Presretnute SMS poruke dodatno omogućavaju programerima Fantasy Hub softvera da oblikuju ubjedljivije phishing napade, jer zlonamjerni akteri dobijaju ažuriranja u realnom vremenu o stanju na računima korisnika i istoriji transakcija. Na taj način napadi se mogu prilagoditi konkretnim ciljevima unutar velikih finansijskih institucija, čime se povećava vjerovatnoća uspjeha u krađi osjetljivih informacija od neslutećih žrtava.

Pored presretanja, Fantasy Hub ima mogućnost da odgovara na dolazne poruke lažnim potvrdnim kôdovima ili drugim sadržajem osmišljenim da prevari korisnike i navede ih da otkriju povjerljive podatke. Ovo se postiže korištenjem unaprijed podešenih phishing stranica unutar softvera, koje su prilagođene specifičnim ciljevima i finansijskim institucijama.

 

WebRTC zloupotreba

Zlonamjerni softver Fantasy Hub koristi WebRTC protokol za prenos zvuka i videa uživo ka komandno-kontrolnim serverima putem tihih veza. Na taj način održava pristup kameri i mikrofonu sve dok se veza ne prekine, obezbjeđujući neprekidan tok osjetljivih informacija nazad u svoju C2 infrastrukturu.

Ovakav prenos posebno je značajan jer omogućava zaobilaženje tradicionalnih bezbjednosnih mjera koje se oslanjaju na statičke indikatore ili detekciju zasnovanu na potpisu. Kombinovanjem WebRTC protokola sa prilagođenim tehnikama šifrovanja, programeri Fantasy Hub softvera oblikovali su mehanizam za skriveni prenos podataka, čime se izbjegava otkrivanje od strane konvencionalnih antivirusnih rješenja.

Dodatno, potrebne WebRTC biblioteke preuzimaju se direktno iz C2 infrastrukture na zahtjev, što pokazuje sposobnost softvera da se prilagođava i razvija u dinamičnom okruženju sajber prijetnji. Ovakav pristup otkriva napredno razumijevanje savremenih bezbjednosnih mjera i naglašava potrebu za jačim odbrambenim strategijama koje bi mogle odgovoriti na ovakve napredne metode.

 

Kanali distribucije

Kanali distribucije Fantasy Hub zlonamjernog softvera osmišljeni su da prevare korisnike i navedu ih da instaliraju štetne aplikacije na svoje mobilne uređaje. Kupci ovog softvera prate uputstva prodavaca kako bi napravili lažne kopije popularnih aplikacija, uz izmišljene recenzije koje povećavaju privid legitimiteta u očima potencijalnih žrtava. Ovakav pristup je posebno djelotvoran, jer se oslanja na povjerenje i poznatost aplikacija koje korisnici svakodnevno koriste.

Proces podrazumijeva pravljenje lažne verzije postojeće aplikacije koja veoma liči na original. Zlonamjerni akteri zatim distribuiraju takve kopije putem lažnih stranica Google Play prodavnice, pažljivo oblikovanih da izgledaju vjerodostojno. Te stranice često sadrže izmišljene komentare navodnih korisnika koji tvrde da su aplikaciju koristili bez ikakvih problema.

Korištenjem ovih kanala, korisnici Fantasy Hub softvera dolaze do šire publike i povećavaju šanse za uspjeh u krađi osjetljivih podataka od neslutećih žrtava. Upotreba kopiranih aplikacija dodatno otežava sigurnosnim istraživačima da prepoznaju i označe zlonamjerne aplikacije unutar legitimnih prodavnica poput Google Play.

Lažne recenzije koje koriste zlonamjerni akteri stvaraju privid da je klonirana aplikacija originalna i bez poznatih ranjivosti. To otežava korisnicima da razlikuju prave od lažnih aplikacija, naročito onima koji nisu upoznati sa osnovnim pravilima mobilne bezbjednosti.

Pored kloniranih aplikacija, programeri Fantasy Hub softvera pružaju uputstva i za druge metode distribucije, uključujući napade društvenog inženjeringa. Takvi napadi često podrazumijevaju obmanu žrtava da instaliraju zlonamjerni softver predstavljajući se kao predstavnici poznatih organizacija ili koristeći psihološke trikove kako bi stvorili osjećaj hitnosti oko preuzimanja i instaliranja aplikacije.

 

UTICAJ

Fantasy Hub predstavlja ozbiljnu prijetnju u zajednici za sajber bezbjednost zbog svog potencijalnog uticaja na digitalne sisteme i korisnike. Jedan od ključnih efekata jeste neovlašteni pristup osjetljivim podacima, uključujući finansijske informacije za prijavu i lične podatke. Takve aktivnosti mogu dovesti do krađe identiteta, neovlaštenih transakcija i drugih zlonamjernih postupaka koji ugrožavaju bezbjednost na mreži.

Posebno zabrinjava sposobnost Fantasy Hub softvera da presretne SMS poruke, čime direktno ugrožava mehanizme autentifikacije u dva koraka (2FA). Time se korisnici izlažu riziku da budu zaključani sa svojih naloga ili primorani da prolaze kroz dugotrajne procese provjere, što remeti svakodnevne rutine i poslovne operacije.

Ekonomski uticaj ove prijetnje je značajan. Aktivnosti Fantasy Hub zlonamjernog softvera mogu prouzrokovati velike finansijske gubitke kako za pojedince, tako i za organizacije. Pored toga, dolazi do narušavanja reputacije, što može izazvati pad prodaje i prihoda, jer kupci gube povjerenje u digitalne sisteme.

Ne treba zanemariti ni psihološke posljedice. Sajber kriminal često izaziva anksioznost, stres i osjećaj ranjivosti, utičući na mentalno zdravlje i opšte blagostanje žrtava. U težim slučajevima, posljedice mogu biti još ozbiljnije, uključujući emocionalne pritiske i pregovore pod prisilom.

Uticaj Fantasy Hub zlonamjernog softvera ne ograničava se samo na pojedince. Organizacije se suočavaju sa dodatnim izazovima, ulažući vrijeme i resurse u strategije zaštite koje se često pokažu nedovoljno djelotvornim protiv odlučnih zlonamjernih aktera. Finansijski teret takvih mjera je značajan, jer sredstva bivaju preusmjerena sa produktivnijih ciljeva poput inovacija i inicijativa za rast.

 

ZAKLJUČAK

Zlonamjerni softver Fantasy Hub predstavlja značajnu eskalaciju sajber kriminala fokusiranog na mobilne uređaje zbog svojih naprednih tehnika izbjegavanja, taktika društvenog inženjeringa i dubokog pristupa na nivou sistema. Operativna struktura ove platforme zlonamjerni softver kao usluga (MaaS) pokazuje kako ona demokratizuje napredne sajber prijetnje pružajući kupcima alate koji su im potrebni za pokretanje koordinisanih napada na finansijske institucije i poslovne korisnike.

Tehnička arhitektura Fantasy Hub zlonamjernog softvera uključuje višestruke strategije izbjegavanja dizajnirane da zaobiđu mehanizme detekcije i bezbjednosnu analizu, uključujući izvorne softvere za ubacivanje, prilagođene rutine za dešifrovanje zasnovane na XOR i gzip kompresiju.

Opasna tehnika eksploatacije uključuje zloupotrebu podrazumijevane uloge obrađivača SMS poruka kako bi se omogućio objedinjeni pristup SMS sadržaju, kontaktima, funkcijama kamere i pristupu datotekama kroz jedan korak autorizacije. Fantasy Hub koristi WebRTC tehnologiju kako bi omogućio prenos zvuka i videa uživo direktno na komandne servere bez potrebe za posebnim dozvolama.

Finansijske mogućnosti ciljanja Fantasy Hub zlonamjernog softvera predstavljaju možda najneposredniju prijetnju poslovnim organizacijama i pojedinačnim potrošačima. Stoga, organizacije moraju da pri mene robusne bezbjednosne mjere koje uključuju napredna rješenja za zaštitu od prijetnji, redovna ažuriranja softvera i programe edukacije zaposlenih kako bi spriječile uspeh ovih vrsta napada.

 

PREPORUKE

Borba protiv Fantasy Hub zlonamjernog softvera traži višeslojnu strategiju – kombinaciju budnosti, svijesti i proaktivnih koraka. U nastavku slijede preporuke koje mogu poslužiti kao vodič kroz digitalnu sigurnost:

  1. Redovno pratiti renomirane izvore za informacije o novootkrivenom zlonamjernom softveru i sajber prijetnjama kako bi se ostalo ispred potencijalnih rizika. Ovo znanje će pomoći u stvaranju bezbjednosnih politika i procedura unutar digitalnog ekosistema organizacije ili pojedinca.
  2. Razvijti sveobuhvatne planove koji uključuju redovna ažuriranja softvera, korištenje bezbjednih prodavnica aplikacija i alate za praćenje posebno dizajnirane za mobilne uređaje. Ove mjere mogu značajno smanjiti rizik povezan sa zlonamjernim softverom Fantasy Hub.
  3. Instalirati pouzdan antivirusni softver na sve mobilne uređaje kako bi se otkrile i spriječile zlonamjerne aktivnosti. Redovno ažurirati ove programe kako bi se osiguralo da ostanu efikasni protiv prijetnji koje se stalno razvijaju.
  4. Instalirati aplikacije samo iz ovlašćenih prodavnica, kao što je Google Play, Amazon ili Samsung Galaxy. Izbjegavati preuzimanje APK datoteka sa drugih uređaja osim ako nije apsolutno neophodno, jer to može povećati rizik od infekcije zlonamjernim softverom.
  5. Prije instaliranja aplikacije, pažljivo pregledati njene tražene dozvole. Takođe, provjeriti ocjene i komentare korisnika kako bi se procijenili potencijalni bezbjednosni rizici povezani sa tom određenom aplikacijom.
  6. Implementirajte robusne politike lozinki na svim uređajima i uslugama. Razmislite o korištenju autentifikacije u dva ili više koraka za dodatnu zaštitu od neovlaštenog pristupa.
  7. Osigurati da su kritične informacije bezbjedno sačuvane na sigurnim lokacijama van uređaja kako bi se spriječio gubitak usljed infekcije zlonamjernim softverom ili kompromitovanja uređaja.
  8. Sprovoditi temeljne procjene mobilnih uređaja i mreža unutar organizacije kako bi se identifikovale ranjivosti koje bi mogle da iskoriste prijetnje poput Fantasy Hub.
  9. Obezbijediti obuku o prepoznavanju sumnjive elektronske pošte, poruka ili internet lokacija osmišljenih da prevare pojedince da otkriju osjetljive informacije.
  10. Uspostaviti jasne smjernice za zaposlene koji koriste lične uređaje na radnom mjestu. Ovo bi trebalo da uključuje zahteve za instalaciju bezbjednosnog softvera i redovna ažuriranja.
  11. Koristiti šifrovane aplikacije ili usluge za razmjenu poruka kako biste se zaštitili od presretanja osjetljivih informacija od strane zlonamjernih aktera.
  12. Redovno pregledati sistemske evidencije na mobilnim uređajima kako bi se otkrilo svako sumnjivo ponašanje koje bi moglo ukazivati na infekciju zlonamjernim softverom, kao što su pokušaji neovlaštenog pristupa ili neuobičajeni prenosi podataka.
  13. Usvojiti pristup gdje se svi korisnici i uređaji tretiraju sa sumnjom dok se ne potvrde kao pouzdani entiteti unutar mreže. Ovakav način razmišljanja može pomoći u sprječavanju bočnog kretanja zlonamjernih aktera u slučaju kompromitovanja.
  14. Prilikom pristupa resursima kompanije spolja, koristite virtualne privatne mreže (eng. virtual private network – VPN) ili druge bezbjedne metode povezivanja kako bi se otežalo presretanje osjetljivih informacija tokom prenosa.
  15. Razvijati i redovno ažurirati procedure koje detaljno opisuju korake koje treba preduzeti u slučaju sumnje na infekciju zlonamjernim softverom ili pokušaja neovlaštenog pristupa na mobilnim uređajima unutar mreže organizacije.
  16. Iskoristiti rješenja zasnovana na vještačkoj inteligenciji, posebno dizajnirana za otkrivanje i sprječavanje naprednih prijetnji poput Fantasy Hub.
  17. Koristite šifrovane usluge u oblaku ili druge bezbjedne metode za skladištenje osjetljivih informacija koje bi mogle biti ciljane prijetnjama koje traže finansijsku dobit.
  18. Implementirati više slojeva zaštite u svim aspektima digitalnog ekosistema organizacije kako bi se spriječilo bočno kretanje i smanjila potencijalna šteta u slučaju kompromitovanja.

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik povezan sa ovim naprednom varijantom zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.