Um novo e perigoso malware para Android, chamado Fantasy Hub, foi identificado por pesquisadores de segurança da Zimperium. A ameaça se destaca por transformar o Telegram em um verdadeiro centro de comando do cibercrime, sendo distribuída como um Malware-como-Serviço (MaaS) para qualquer interessado em comprometer dispositivos Android.
Neste artigo, explicamos em detalhes o que é o Fantasy Hub, como ele é vendido e distribuído, por que o abuso da permissão de SMS é tão perigoso e quais os riscos reais para a privacidade e os dados bancários dos usuários.
A descoberta acende um alerta para o ecossistema Android, especialmente em empresas com políticas BYOD (Bring Your Own Device), mostrando como o cibercrime móvel vem se profissionalizando e se tornando mais acessível, com ataques cada vez mais difíceis de detectar.
O que é o Fantasy Hub e como ele é vendido
O Fantasy Hub é um Trojan de Acesso Remoto (RAT), um tipo de malware que concede ao atacante controle total sobre o dispositivo da vítima. Uma vez instalado, o criminoso pode visualizar a tela, ler mensagens, acessar arquivos, ativar a câmera e até monitorar o áudio em tempo real.
O “delivery” do crime: Malware-como-Serviço (MaaS) no Telegram
Diferente de ameaças antigas, o Fantasy Hub é vendido como um serviço completo no Telegram, dentro de grupos e canais voltados para cibercriminosos de língua russa. Esse modelo MaaS (Malware-as-a-Service) reduz drasticamente a barreira de entrada para novos atacantes, que não precisam ter conhecimento técnico avançado.
Segundo a Zimperium, o acesso ao serviço custa cerca de US$ 200 por semana ou US$ 500 por mês. O pagamento dá direito a atualizações automáticas e suporte direto dos desenvolvedores, que tratam o malware como um produto profissional. Nesses grupos, as vítimas são pejorativamente chamadas de “mamutes”, reforçando o caráter industrial e desumanizado dessas operações.
O que o Fantasy Hub pode roubar
As capacidades do RAT Fantasy Hub são vastas. O malware pode coletar mensagens SMS, contatos, registros de chamadas, fotos, vídeos e informações do sistema. Além disso, consegue interceptar, responder e apagar notificações, o que o torna especialmente perigoso para interceptar códigos de autenticação de dois fatores (2FA).
Essa combinação de funções permite que o atacante realize desde espionagem pessoal até roubo de credenciais bancárias e comprometimento total de contas online.
O golpe mestre: como o malware engana o Android e o usuário
O vetor de infecção do malware Android Fantasy Hub é engenhoso e explorado com maestria. O aplicativo se disfarça como uma atualização legítima do Google Play ou de outro serviço popular, pedindo ao usuário que o defina como aplicativo padrão de SMS.
Uma vez que o usuário aceita, o malware ganha acesso automático a uma ampla gama de permissões sem precisar solicitá-las individualmente, tornando-se praticamente invisível e difícil de remover.
O perigo de trocar seu app de SMS padrão
Aceitar a troca do aplicativo de SMS padrão é o erro que abre a porta para o ataque. O handler de SMS concede ao Fantasy Hub permissões para ler, enviar e excluir mensagens, além de acessar contatos e interagir com notificações de forma silenciosa.
Isso significa que o malware pode ler e interceptar códigos de autenticação (2FA) enviados por bancos, lojas online ou plataformas de criptomoedas, permitindo que o criminoso acesse contas protegidas sem despertar suspeitas.
Espionagem em tempo real com WebRTC
Outro aspecto avançado do Fantasy Hub é o uso do WebRTC, um projeto de código aberto legítimo criado para comunicações em tempo real pela web. O malware abusa dessa tecnologia para transmitir ao vivo o conteúdo da câmera e do microfone do dispositivo da vítima diretamente ao painel de controle do atacante.
Na prática, o criminoso pode observar e ouvir tudo o que ocorre ao redor do usuário em tempo real, o que representa um enorme risco à privacidade e à segurança física.
Ataque direto aos aplicativos bancários
Além do roubo de SMS e espionagem, o RAT Fantasy Hub também utiliza telas falsas (overlays) sobre aplicativos legítimos, especialmente os de bancos. Essas sobreposições imitam interfaces reais e capturam as credenciais digitadas pelo usuário. Embora o relatório da Zimperium destaque ataques voltados a bancos russos, a técnica pode ser facilmente adaptada a instituições financeiras de qualquer país.
O cenário maior: malware Android está em ascensão
O Fantasy Hub não é um caso isolado, mas parte de uma tendência alarmante de crescimento do malware móvel. Segundo dados da Zscaler ThreatLabz, o número de transações e infecções de malware Android aumentou 67% em relação ao ano anterior, com centenas de aplicativos maliciosos sendo identificados inclusive dentro da própria Google Play Store.
Aumento de 67% nas transações de malware
A pesquisa da Zscaler mostra que o ecossistema Android continua sendo o principal alvo de cibercriminosos, especialmente por sua fragmentação e pela distribuição ampla de APKs fora da loja oficial. Famílias como Anatsa (TeaBot) e Xnotice são exemplos recentes de ameaças que evoluem rapidamente e exploram falhas de usabilidade para enganar o usuário.
A evolução dos golpes: o caso NGate e o roubo por NFC
Outro exemplo do avanço das ameaças móveis é o malware NGate, detectado pelo CERT Polska. Essa ameaça usa ataques de retransmissão NFC (Near Field Communication) para clonar cartões de pagamento e realizar saques em caixas eletrônicos físicos. O caso ilustra como os cibercriminosos estão unindo engenharia social, malware móvel e tecnologias legítimas para ampliar seus ganhos ilícitos.
Conclusão: como se proteger do Fantasy Hub e ameaças similares
O malware Fantasy Hub representa um marco na evolução do cibercrime móvel, combinando engenharia social avançada, abuso de permissões legítimas e tecnologias em tempo real para comprometer dispositivos Android. Seu modelo MaaS mostra que, hoje, qualquer pessoa com dinheiro e más intenções pode se tornar um atacante, sem precisar de conhecimento técnico.
Para se proteger, siga estas recomendações práticas:
- Nunca instale aplicativos fora da Google Play Store oficial. Evite baixar APKs de sites ou links compartilhados em redes sociais e mensageiros.
- Desconfie de qualquer app que peça para se tornar seu aplicativo de SMS padrão. O Android já possui um app nativo, o Mensagens, que é suficiente para o uso cotidiano.
- Verifique cuidadosamente as permissões solicitadas pelos aplicativos. Um app de “atualização” não precisa de acesso à câmera, microfone ou SMS.
- Mantenha o Google Play Protect ativado, pois ele é a primeira linha de defesa contra ameaças conhecidas.
- Prefira métodos de autenticação que não usem SMS, como aplicativos autenticadores (Google Authenticator, Authy) ou chaves de segurança físicas (FIDO2).
A conscientização continua sendo a melhor defesa. O Fantasy Hub é apenas mais um exemplo de como a combinação de engenharia social e permissões mal interpretadas pode transformar o smartphone em uma ferramenta de espionagem e roubo de dados.
