🕵️‍♂️ “Fantasy Hub”: el RAT en Telegram que convierte teléfonos Android en centros de espionaje

¿Y si un atacante, sin saber programar, pudiera comprar un “kit” que convierte cualquier Android en una puerta trasera completa? Eso ya no es teoría: se llama Fantasy Hub y se vende como servicio en canales de Telegram.

¿Qué es Fantasy Hub y cómo funciona?

Fantasy Hub es un troyano de acceso remoto (RAT) para Android distribuido como Malware-as-a-Service (MaaS) en canales rusoparlantes de Telegram. En vez de ser una herramienta exclusiva de desarrolladores de malware, se ofrece por suscripción y viene con paneles y bots que automatizan su despliegue, por lo que incluso atacantes con poca experiencia técnica pueden ejecutar campañas a gran escala.

Las capacidades más peligrosas que incorpora son:

• Interceptación y lectura de SMS (incluyendo códigos 2FA si el troyano se convierte en el manejador SMS predeterminado).

• Acceso a contactos, registros de llamadas, imágenes y vídeos.

• Captura, modificación, respuesta y borrado de notificaciones entrantes.

• Instalación y control remoto del dispositivo vía túneles y sesiones remotas.

• Plantillas de phishing y páginas falsas personalizables (que imitan tiendas) para engañar al usuario y forzar la instalación.

Los compradores pueden personalizar iconos, nombres y páginas de phishing (por ejemplo imitando Google Play) para aumentar la tasa de infección.

¿A quiénes están atacando?

Entre los objetivos reportados figuran entidades financieras (bancos grandes en Rusia como Alfa-Bank, PSB, Tbank y Sber), donde los atacantes usan ventanas de phishing a medida para capturar credenciales y códigos. Pero el riesgo no es solo bancario: cualquier organización con políticas BYOD o acceso a recursos sensibles por móvil está vulnerable.

Por qué esto importa para ti (como profesional de TI)

• El troyano explota debilidades en la cultura de uso del móvil (instalar apps fuera de tiendas oficiales, aceptar permisos sin revisar) y en controles técnicos insuficientes (ausencia de MDM, permisos mal configurados).

• Convertir el handler SMS en predeterminado es una técnica simple pero letal: permite interceptar 2FA basados en SMS.

• El modelo MaaS reduce la barrera técnica del atacante: ahora cualquiera con dinero y acceso a Telegram puede lanzar campañas dirigidas.

Qué revisar ya en tu entorno — lista práctica

1. Política BYOD

   • Prohíbe o limita la instalación de apps de orígenes desconocidos.

   • Define qué datos y apps pueden manejarse desde dispositivos personales.

2. Gestión de dispositivos móviles (MDM/UEM)

   • Asegura que los dispositivos corporativos estén enrolados y con políticas de app control.

   • Restringe la instalación de apps que puedan cambiar handlers críticos (SMS, accesibilidad).

3. Permisos y handlers

   • Revisa si algún dispositivo tiene el manejador SMS predeterminado cambiado por una app desconocida.

   • Bloquea o alerta cuando una aplicación solicita ser handler por defecto o solicita permisos de accesibilidad sin justificación.

4. Autenticación fuerte

   • Evita depender exclusivamente de SMS-2FA. Promueve autenticadores TOTP, llaves FIDO2 o MFA basadas en aplicaciones seguras.

   • Para transacciones críticas, exige factores fuera del dispositivo móvil cuando sea posible.

5. Segmentación y detección

   • Monitorea conexiones inusuales desde móviles: tráfico persistente a servidores no habituales, túneles salientes o sesiones RDP/remote control.

   • Usa EDR/AV que cubra Android o soluciones MTD (Mobile Threat Defense) que detecten comportamientos anómalos.

6. Concienciación y phishing

   • Entrena a usuarios para identificar páginas falsas (URLs, certificados, comportamiento de instalación).

   • Simula campañas de phishing que incluyan clones de tiendas para medir la exposición.

7. Inventario y respuesta

   • Mantén un inventario de apps aprobadas por dispositivo.

   • Procedimiento de respuesta: aislar dispositivo, revocar accesos, forzar MFA re-registro, realizar análisis forense móvil.

Indicadores prácticos de compromiso (IoC) que puedes buscar

• App instalada con nombre o icono que imita una tienda (pero instalada fuera de Play Store).

• Aplicación que solicita ser handler SMS o permisos de accesibilidad sin necesitarlo.

• Consumo de datos o conexiones persistentes hacia canales/hosts desconocidos.

• Notificaciones que desaparecen o mensajes SMS que no llegan al usuario (interceptación).

• Registros de conexiones remotas salientes o herramientas de asistencia remota instaladas inesperadamente (AnyDesk, Zoho, etc.).