Androidトロイの木馬Fantasy Hub、TelegramでMaaS化 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/11/android-trojan-fantasy-hub-malware.html

🛡 概要

Android向けリモートアクセス型トロイの木馬（RAT）「Fantasy Hub」が、ロシア語圏のTelegramチャンネルでMalware-as-a-Service（MaaS）として販売・運用されています。購入者はTelegramボット経由で購読管理やビルダーにアクセスでき、任意のAPKをアップロードすると不正ペイロードを組み込んだトロイ化APKが返却されます。機能はSMS・連絡先・通話履歴・画像・動画の収集、通知の傍受/返信/削除、銀行向けオーバーレイ詐取、WebRTCを用いたカメラ/マイクのライブ配信など多岐にわたり、BYOD環境やモバイルバンキングを利用する企業に直接的なリスクをもたらします。CVSSは該当なし（脆弱性悪用ではなくソーシャルエンジニアリングと権限濫用が中心）。

🔍 技術詳細

配布は主にフィッシング誘導で、売り手が提供する「偽のGoogle Playストア風ランディングページ」からのインストールが狙いです。さらにTelegramのボットが購読とビルダー操作を自動化しており、攻撃者は任意の正規APKをアップロードすると、悪性ペイロードが埋め込まれたトロイ化APKを取得できます。ドロッパは「Google Playアップデート」を装って権限付与を促し、標準SMSハンドラー（デフォルトSMSアプリ）への設定変更をユーザに求めることで、SMSの読み取り/送信、通知傍受、連絡先・通話履歴・ストレージへのアクセスなど強力な権限を一挙に獲得します。これにより2要素認証（SMSベース）の傍受や自動返信が可能になります。

資格情報詐取では、ロシアの金融機関（例: Alfa, PSB, T‑Bank, Sberbank）向けの精巧な偽オーバーレイを用いて、銀行アプリのログイン情報を盗みます。収集機能はSMS/通話/連絡先/画像/動画に加え、オープンソースの仕組みを利用したWebRTCによるカメラ・マイクのリアルタイム配信が含まれます。C2パネルは感染端末一覧や購読状態を表示し、データ収集コマンドを実行できます。また、売り手は購入者に対し、Telegramボットの作成、チャットIDとトークンの設定、通常通知と高優先通知を別チャットに振り分ける手順を案内しています。設計は直近報告のHyperRatに類似し、SMS既定アプリ権限の濫用はClayRATでも見られた手口です。

ビジネスモデルは1ユーザ（1セッション）週$200/月$500/年$4,500。市場動向として、2024年〜2025年にかけてAndroidマルウェア取引が前年比67%増加し、公式ストアでも悪性アプリが大量に検出されています。Anatsa（TeaBot）、Void（Vo1d）、XnoticeなどのRAT/バンキング型が並行して活動し、職業詐称アプリを通じた地域特化の誘導も確認されています。別系統として、CERT PolskaはPolish銀行利用者を狙うNGate（NFSkate）のNFCリレー悪用を注意喚起しており、Androidを介した決済情報窃取の多様化が進んでいます。

⚠ 影響

資格情報流出: 銀行アプリのオーバーレイでID/パスワードを窃取。SMS 2FAの傍受により不正送金リスクが高まる。
機密データ漏えい: 連絡先・通話履歴・画像/動画・通知内容がC2へ送信される。
監視/盗撮: WebRTCライブ配信によりカメラ・マイクをリアルタイム悪用。
ブランド/業務影響: BYODでの侵害が業務アカウントに波及し、詐欺被害やインシデント対応コストが増大。

🛠 対策

アプリ配布統制: Android Enterpriseの管理対象Google Playでのホワイトリスト配信を徹底。提供元不明アプリのインストールを禁止。
権限ガバナンス: 「既定のSMSアプリ」「通知へのアクセス」「他のアプリの上に表示（オーバーレイ）」の特権権限を原則禁止し、業務必要アプリのみ許可。
MFA強化: SMSベース2FAの利用を最小化し、FIDO2/プッシュ認証（番号一致・デバイスバインディング）へ移行。
URL/コンテンツフィルタ: 偽Playページやフィッシング誘導サイトをDNS/HTTPでブロック。Safe Browsingを有効化。
MTD/モバイルEDR: オーバーレイ権限要求、既定SMS変更、通知リスナー追加、WebRTC異常トラフィックを行動検知。
開発者/ベンダ対策: バンキングアプリはPlay Integrity API、画面オーバーレイ検知、端末紐付けを強化。
教育: 権限要求ポップアップの見極め、偽更新アプリへの注意、Telegram経由の配布リスクを啓発。

📌 SOC視点

デバイスイベント監視: 既定SMSアプリ変更（RoleManagerのROLE_SMS変更イベント）、通知リスナー有効化（enabled_notification_listeners）、オーバーレイ権限（SYSTEM_ALERT_WINDOW）、自動起動（BOOT_COMPLETED受信）をMDM/MTDで取得。
ネットワーク兆候: WebRTCのSTUN/TURN通信（UDP 3478/5349等）と長時間継続するメディアセッション、未知ドメインへのHTTPS POST反復。Telegram Bot API（api.telegram.org等）との通信が業務要件と不整合な端末を重点調査。
アプリ整合性: 正規アプリと称するインストーラの署名/ハッシュ不一致、証明書ピニングの欠如、バンドル内に不要なSMS/通知/メディア権限が含まれる不審アプリを隔離。
アラート設計: 「既定SMS変更＋通知傍受付与＋未知WebRTC通信」の複合相関で高優先度アラート。BYODは業務データアクセスの一時停止とフォレンジックへ自動連携。

📈 MITRE ATT&CK

初期アクセス（Mobile）: 悪性アプリ配布（偽Playページ、トロイ化APK）。根拠: 売り手が偽ランディングとビルダーを提供。
実行: ユーザ実行による悪性コード起動。根拠: ダウンロード/インストール後にペイロードが動作。
永続化: 既定SMSアプリ設定、通知リスナー、有効化時の自動起動。根拠: 権限とロール獲得で常駐化。
認証情報アクセス: 銀行アプリのオーバーレイで資格情報を入力させる、SMS 2FAの傍受。根拠: オーバーレイ詐取とSMS権限濫用。
収集: SMS・連絡先・通話履歴・画像・動画、カメラ/マイクのライブ取得。根拠: C2パネルで収集命令が可能。
コマンド&コントロール: WebプロトコルのC2パネル、Telegramボットで通知・制御補助。根拠: ボットで高優先通知を分離しC2と連携。
防御回避/偽装: 「Google Playアップデート」や正規アプリ外観の偽装、任意APKのトロイ化。根拠: ドロッパ偽装とビルダー機能。
データ流出: HTTPSやWebRTCチャネルで外部送信。根拠: ライブ配信とC2送信の併用。

注: 本件は既知脆弱性の悪用ではなく、正規権限/コンポーネントの濫用が中心です（CVSS該当なし）。

🏢 組織規模別助言

〜50名: BYODポリシーを簡潔に定義し、提供元不明アプリ禁止とSMS 2FA最小化を徹底。無料のMTD/MDMライトやGoogle Workspaceの基本機能で端末準拠を可視化。
50〜500名: Android Enterpriseの管理対象プロファイル、許可リスト配信、オーバーレイ/通知アクセスの申請制を導入。銀行取引はFIDO2へ段階移行。ネット/DNSフィルタで偽ストア遮断。
500名以上: モバイルEDR＋SIEMで「SMSロール変更×WebRTC持続セッション」相関検知、SOARでアカウント凍結と端末隔離を自動化。ベンダと連携しモバイルアプリの整合性検証（Play Integrity、デバイスバインド）を標準化。