كشف باحثون في الأمن السيبراني عن تفاصيل تروجان وصول عن بُعد لأجهزة أندرويد اسمه Fantasy Hub، يُسوَّق عبر قنوات روسية الناطقين باللغة الروسية على تيليجرام بنموذج «برمجيات خبيثة كخدمة» (MaaS). بحسب ترويج البائع، يتيح البرمجية للمهاجمين التحكم في الأجهزة والتجسّس عليها — جمع رسائل SMS، جهات الاتصال، سجلات المكالمات، الصور والفيديوهات، بالإضافة إلى اعتراض، والرد، وحذف الإشعارات الواردة.
آليات الانتشار والقدرات التقنية
قال فيشنو براتباغيري، باحث لدى شركة Zimperium، إن المنتج يأتي مع وثائق بائع وفيديوهات ونموذج اشتراك يعتمد على بوت؛ ما يخفض عتبة الدخول للمهاجمين المبتدئين. تستغل البرمجية مميزات نظام أندرويد الشرعية: تطلب من المستخدم تعيينها كتطبيق افتراضي لمعالجة الرسائل القصيرة (SMS handler) — خطوة تمنحها صلاحيات واسعة دفعة واحدة بدلاً من طلب أذونات منفردة أثناء التشغيل. تستخدم القاذفات (droppers) واجهات زائفة تدّعي أنها تحديث من متجر جوجل بلاي لخداع المستخدمين ومنح التطبيق الأذونات المطلوبة. كما تستغل Fantasy Hub مخططات تراكب (overlays) زائفة لسرقة بيانات تسجيل الدخول المصرفية وتبث كاميرا وميكروفون الضحية لحظياً عبر WebRTC اعتماداً على مشروع مفتوح المصدر.
نموذج العمل واللوحة الإدارية والأسعار
يُدار الاشتراك والبناء الآلي عبر بوت تيليجرام يسمح بتحميل أي ملف APK وإرجاع نسخة مُحقنة بالحمولة الخبيثة. يعرض البائع حزم اشتراك: أسبوعي لعميل واحد مقابل 200 دولار، شهري مقابل 500 دولار، وسنوي مقابل 4,500 دولار. لوحة القيادة (C2) المرتبطة بالبرمجية تعرض معلومات الأجهزة المخترقة وحالة الاشتراك، وتمكن المهاجمين من إصدار أوامر لاسترداد بيانات متنوعة. يوجه البائع المشترين أيضاً إلى إنشاء بوت والتقاط معرّف الدردشة وتكوين التوكنات لفرز التنبيهات العامة والعاجلة إلى محادثات منفصلة — تصميم يُشبه ما رُصد مؤخراً لدى عائلات برمجيات خبيثة أخرى مثل HyperRat.
المخاطر العملية وانتشار عائلات برمجيات أندرويد الخبيثة
تُشكّل Fantasy Hub تهديداً مباشراً لبيئات العمل التي تعتمد سياسة الأجهزة الشخصية في العمل (BYOD) ولمن يستخدمون الخدمات المصرفية عبر الهاتف المحمول، لا سيّما أنها تستهدف سير عمل المدفوعات وتستغل دور معالج الرسائل الاعتيادي لاعتراض رموز المصادقة الثنائية المستلمة عبر SMS. تزامن كشف Zimperium مع تقرير Zscaler ThreatLabz الذي أظهر ارتفاعاً قدره 67% سنوياً في معاملات برمجيات أندرويد الخبيثة، مدفوعة بتطوّر برامج التجسس وتروجان المصارف؛ إذ رُصدت 239 تطبيقاً خبيثاً على متجر جوجل بلاي بتحميلات إجمالية نحو 42 مليون مرة بين يونيو 2024 ومايو 2025. من العائلات البارزة أناتسا (المعروف أيضاً TeaBot وToddler)، Void (Vo1d)، وXnotice — الأخير استهدف طالبي عمل في قطاع النفط والغاز عبر تطبيقات وهمية.
تتضمن أساليب التهريب تقمص هويات تطبيقات شرعية أو استخدام متاجر طرف ثالث، وتطبيقات سُلِّفت لها وظائف مفيدة بينما تقوم بالتقاط بيانات الدخول، رموز 2FA، ولقطات شاشة. كما أشار التقرير إلى تحركات متزامنة مثل حملات NGate (المعروفة NFSkate) التي استهدفت مستخدمي بنوك بولندية عبر هجمات استغلال NFC لسرقة بيانات بطاقات الدفع، إذ تُوزَّع روابط التطبيقات الخبيثة عبر رسائل تصيّد تدّعي وجود مشكلة أمنية لتجبر الضحايا على تثبيت التطبيق والتحقق من بطاقاتهم — ما يسمح للمهاجمين بإعادة بث حركة NFC إلى جهاز عند صراف آلي لسحب أموال دون سرقة البطاقة فعلياً، بحسب تحذير CERT Polska.
كذلك يُظهر التهديد تكامل تقنيات متعددة: قاذفات محلية، بث مباشر عبر WebRTC، استغلال صلاحية معالج الرسائل، وتراكبات مصمَّمة لخداع ضحايا البنوك (Alfa, PSB, T-Bank, Sberbank ذُكرت كمؤسسات مستهدفة في النماذج الروسية). هذا التكامل يجعل Fantasy Hub أكثر قدرة على تنفيذ سرقات مالية متقدمة مقارنةً بتروجان المصارف القديمة التي اعتمدت فقط على التراكب.
