【安全圈】Android 远控木马 Fantasy Hub 以 MaaS 形式售卖

关键词

恶意软件

安全研究人员近日披露了一款名为 Fantasy Hub 的安卓远程访问木马（RAT），该恶意软件以 Malware-as-a-Service（MaaS，即恶意软件即服务）形式在俄语系的 Telegram 频道上出售，功能覆盖从短信拦截到摄像头实时流媒体，目标直指个人与企业移动设备的全面控制与窃密。该项目由出售方通过自动化 bot 提供订阅与打包生成服务，能够将任意合法 APK 注入恶意负载后返回“木马化”版本，辅以使用说明与演示视频，显著降低了新手攻击者的入门门槛，这一发现由 zLabs（Zimperium）研究团队公开并被多家安全媒体跟进报道。

从技术实现上看，Fantasy Hub 采用了多条成熟且危险的攻击链。其传播伪装手法通常是假扮为 Google Play 更新或其他看似可信的应用安装包，利用社会工程诱导用户安装后通过 post-install 钩子加载真正的恶意模块。更关键的是，木马鼓励或引导受害者将其设为默认短信处理程序，从而一次性获取包括短信读取、联系人、文件、摄像头与麦克风等在内的一揽子敏感权限。借助这些权限，攻击者可以拦截并读取一次性验证码（SMS 2FA）、伪造或删除通知、抓取通话记录与多媒体文件，甚至通过 WebRTC 实现实时音视频窃听与监控。该软件还集成了伪装银行登录窗口（overlay）以捕捉银行凭证，显然将金融欺诈作为重要用途之一。

商业模式方面，Fantasy Hub 以订阅制出售，支持按周、按月、按年计费，并提供面向单一活跃会话的许可与所谓的“构建器”权限，售价区间与具体报价在不同广告中有所披露，服务端（C2）面板可显示被攻陷设备详情并下发远程命令，配套的 bot 用于管理付费、生成木马化 APK，以及将告警推送到指定的 Telegram 聊天中。这样的服务化产品使得攻击活动呈现规模化与职业化特征，Telegram 继续扮演着连接卖家与买家的黑市市集角色。

这一威胁暴露出移动端威胁生态正快速演化的现实。大规模的 Malwares-as-a-Service 平台降低了技术门槛，使得原本需要开发技能的攻击手法对更广泛的犯罪群体可用；与此同时，来自正规应用商店的检测与防护也并非万无一失，最新的行业报告显示近年安卓恶意软件交易与感染事件显著上升，研究显示 Google Play 上仍存在大量恶意应用被下载数千万次，安卓相关威胁在短期内出现两位数增长。对于依赖 BYOD（自带设备办公）或移动银行的企业与个人用户而言，风险尤为明显。

对于防御与缓解，企业应当从策略、技术与用户教育三个层面同时发力。策略上，企业应严格限制敏感业务在个人设备上的使用，采用最小权限与分区策略（例如容器化企业应用或使用移动设备管理 MDM/EMM 方案），并在必要时禁止将设备设为默认短信应用以降低 SMS 劫持风险。技术上，应部署具有行为检测能力的移动威胁防护（MTD/EDR for mobile），启用 Google Play Protect 并限制只从可信应用源安装程序，同时对高风险权限变更与异常网络通信实施报警与隔离。用户教育方面，需要重点提醒员工警惕假更新、非官方安装包与社工式诱导，不随意授予 SMS、Accessibility、摄像头或麦克风一类高风险权限，并在发现异常电量消耗、后台网络流量或突发通知行为时及时上报与断网排查。以上措施对降低 Fantasy Hub 类工具的成功率至关重要。

从更广泛的安全态势看，Fantasy Hub 的曝光再次证明移动端已成为攻击者重点角力场。攻击者不仅复用已有技术（如 overlay、SMS 劫持、默认 SMS 权限滥用），还在集成实时流媒体、自动化打包与订阅管理等功能上快速迭代，形成“工具化＋服务化＋自动化”的攻击链条。安全防护体系需要相应升级，从单点签名检测转向基于行为、链路与策略的综合防护，同时加强产业协同与情报共享，以便在恶意工具迅速扩散时实现快速发现与阻断。

对于普通用户，最直接且有效的防护措施仍是谨慎安装来源与权限管理。不要从短信链接或不明渠道安装应用，不要轻易将陌生应用设置为默认短信处理器或授予 Accessibility 权限，定期检查已安装应用与系统权限，并在发现可疑应用时及时卸载且更改相关账户密码与 MFA 方式（推荐使用基于应用或硬件的双因素设备而非仅依赖短信）。对于企业安全团队，应尽快将移动安全纳入整体威胁模型与应急演练范畴，特别是涉及金融工作流与员工使用个人设备接入业务系统的场景。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！