Fantasy Hub: Neue Angriffswelle auf Android-Banking

Ein hochentwickelter Android-Trojaner bedroht mobile Banking-Nutzer weltweit. Die als „Fantasy Hub” bekannte Schadsoftware wird als Komplettpaket in russischsprachigen Cybercrime-Foren verkauft – und macht selbst technisch unerfahrene Kriminelle zu gefährlichen Angreifern.

Die Masche ist perfide: Die Malware tarnt sich als Google Play-Update und verleitet Nutzer dazu, weitreichende Berechtigungen zu erteilen. Damit übernehmen Angreifer faktisch die vollständige Kontrolle über das kompromittierte Gerät. Cybersecurity-Forscher von Zimperiums zLabs, die den Trojaner Anfang November identifizierten, warnen vor einer neuen Dimension der Bedrohung.

Was Fantasy Hub besonders gefährlich macht: Die Kombination aus ausgefeilter Technik und niederschwelligem Zugang. Das Malware-as-a-Service-Modell (MaaS) demokratisiert faktisch den Cybercrime – mit gravierenden Folgen für Bankkunden und Unternehmen mit Bring-Your-Own-Device-Richtlinien.

Apropos Android-Sicherheit – besonders bei Angriffen wie Fantasy Hub zählen einfache, effektive Schutzmaßnahmen. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schritte, mit praktischen Schritt-für-Schritt-Anleitungen, damit Sie SMS‑Abfang- und Overlay-Attacken besser verhindern können. Holen Sie sich den Ratgeber und sichern Sie Ihr Gerät noch heute: Jetzt kostenloses Android-Sicherheitspaket anfordern

Fantasy Hub gewährt Angreifern einen beispiellosen Zugriff auf infizierte Geräte. Nach der Installation exfiltriert die Schadsoftware SMS-Nachrichten, Kontaktlisten und Anrufprotokolle. Mikrofon und Kamera lassen sich heimlich aktivieren – für Live-Streams direkt zum Command-and-Control-Server der Kriminellen.

Der Hauptzweck ist eindeutig finanziell motiviert. Mit sogenannten Overlay-Attacken legt der Trojaner gefälschte Login-Fenster über legitime Banking-Apps. Gibt ein Nutzer seine Zugangsdaten ein, landen diese direkt bei den Angreifern. Besonders im Visier: Kunden russischer Banken wie Alfa, PSB, Tbank und Sber.

Für die Live-Streaming-Funktionen nutzt Fantasy Hub WebRTC-Bibliotheken, die erst bei Bedarf nachgeladen werden. Ein cleverer Trick, der die initiale Dateigröße klein hält und die Entdeckung erschwert.

Cybercrime zum Abonnieren

Die eigentliche Gefahr liegt im Geschäftsmodell. Fantasy Hub wird nicht von einer einzelnen Gruppe genutzt, sondern als Abo-Service vertrieben. Das Komplettpaket umfasst Dokumentation, ein Bot-Management-Panel und automatisierte Tools zum Einbetten der Malware in legitime Android-Apps.

Das Ergebnis? Technisches Know-how wird überflüssig. Selbst unerfahrene Kriminelle können hochsophistizierte Cyberangriffe starten. Die Betreiber der MaaS-Infrastruktur übernehmen die komplexe Technik, während ihre „Kunden” sich auf die Verbreitung der infizierten Apps konzentrieren.

Diese Kommerzialisierung fortgeschrittener Malware ermöglicht eine flächendeckende und rasante Verbreitung. Die Attribution wird dadurch erheblich erschwert – die Bedrohung praktisch allgegenwärtig.

Der perfekte Tarnanstrich

Entscheidend für den Erfolg von Fantasy Hub ist die täuschend echte Installations-Routine. Als „Google Play Update” getarnt, erscheint die Malware legitim und weckt wenig Misstrauen. Mit dieser Maske überzeugt sie Nutzer, ihr weitreichende Berechtigungen zu erteilen – insbesondere die Rolle als Standard-SMS-Handler.

Durch die Kontrolle über SMS-Funktionen kann Fantasy Hub unbemerkt Nachrichten mit Einmalpasswörtern und Zwei-Faktor-Authentifizierungscodes (2FA) abfangen. Die Angreifer umgehen damit eine der wichtigsten Sicherheitsebenen moderner Banking-Anwendungen.

Diese Technik ähnelt der Vorgehensweise anderer aktueller Schädlinge wie ClayRat, wird hier aber als Teil eines umfassenden, finanziell motivierten Angriffsrahmens eingesetzt. Zur weiteren Verschleierung prüft die Malware, ob sie in einer Analyseumgebung oder auf einem gerooteten Gerät läuft – und stellt ihre Aktivitäten ein, wenn sie sich beobachtet wähnt.

Besorgniserregender Trend

Fantasy Hub steht exemplarisch für eine beunruhigende Entwicklung: Immer ausgefeiltere, multifunktionale und leicht zugängliche mobile Malware. Angreifer kombinieren zunehmend Social Engineering mit fortgeschrittenen technischen Exploits, um moderne Sicherheitsmaßnahmen auszuhebeln.

Das MaaS-Modell – wie bei Fantasy Hub und anderen Trojanern wie DeliveryRAT – zeigt die Professionalisierung des Cybercrime-Ökosystems. Spezialisierte Gruppen entwickeln und verkaufen Schadtools als skalierbare kriminelle Unternehmung.

Ein aktueller Bericht von Zscaler, der den Zeitraum von Mitte 2024 bis Mitte 2025 abdeckt, belegt einen Anstieg von Android-Malware-Angriffen um 67 Prozent im Jahresvergleich. Die Analyse zeigt zudem eine Verlagerung: Weg vom traditionellen Kartenbetrug, hin zu direkten Angriffen auf mobile Zahlungssysteme mittels Phishing-Trojanern und bösartigen Apps.

So schützen Sie sich

Die fortlaufende Entwicklung potenter Malware wie Fantasy Hub stellt eine anhaltende Gefahr für Privatpersonen und Unternehmen dar. Besonders brisant: die gezielte Kompromittierung von 2FA-Codes. Das unterstreicht die Notwendigkeit robusterer Authentifizierungsmethoden jenseits von SMS.

Für Organisationen ist das Risiko in BYOD-Umgebungen besonders akut. Ein kompromittiertes Privatgerät kann zum Einfallstor in Unternehmensnetzwerke werden.

Sicherheitsexperten empfehlen folgende Schutzmaßnahmen:

Apps ausschließlich aus offiziellen Quellen wie dem Google Play Store herunterladen. Misstrauen Sie Anwendungen von Drittanbieter-Websites oder Links aus Nachrichten.

Berechtigungsanfragen kritisch prüfen. Eine App sollte keine Standard-SMS-Handler-Rechte oder umfassenden Gerätezugriff benötigen, wenn dies nicht für ihre Kernfunktion erforderlich ist. Besondere Vorsicht bei Anfragen für Bedienungshilfen – diese werden häufig von Malware missbraucht.

Update-Aufforderungen hinterfragen. Legitime Updates für Android und Google Play laufen automatisch über die Systemeinstellungen. Seien Sie skeptisch, wenn eine App Sie auffordert, ein „Update” aus unbekannter Quelle zu installieren.

Mobile Security-Lösungen nutzen. Antiviren- und Mobile-Threat-Defense-Anwendungen können bösartige Apps erkennen und blockieren, bevor Schaden entsteht.

PS: Wenn Sie verhindern wollen, dass Malware 2FA‑Codes abfängt oder Ihr Gerät zur Angriffsplattform wird, helfen diese fünf Maßnahmen oft sofort. Der Gratis-Ratgeber zeigt bewährte Einstellungen, App‑Checks und einfache Tools zum Schutz vor Schadsoftware und unberechtigtem Zugriff. Jetzt Gratis-Ratgeber: 5 Schutzmaßnahmen für Android sichern