I ricercatori di Bitdefender hanno raccontato di una sofisticata campagna malware che prende mira i dispositivi Android. Questa campagna combina tecniche di ingegneria sociale con l’abuso di piattaforme legittime per diffondere un virus in grado di assumere il totale controllo del dispositivo.
L’obiettivo dei malintenzionati è il solito: sottrarre agli utenti dati sensibili e credenziali bancarie. Rispetto ad altre campagne, questa ha un aspetto preoccupante: sfrutta il buon nome del portale Hugging Face, la piattaforma in cui la community globale condivide modelli, dataset e applicazioni di intelligenza artificiale, per distribuire il contenuto dannoso ed eludere i filtri di sicurezza che solitamente bloccano il traffico proveniente da fonti sospette. Scopriamo tutti i dettagli.
Segui TuttoAndroid su Google Discover
roborock Qrevo Curv 2 Flow
Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5
Come viene distribuito questo trojan
Come anticipato in apertura, emergono i dettagli su una sofisticata campagna malware che colpisce i dispositivi Android, infettandoli con un RAT (Remote Access Trojan) che è in grado di prendere in toto il controllo del dispositivo.
La “catena d’attacco” comincia, come sempre, quando l’utente scarica un’applicazione creata ad hoc per condurre gli utenti ignari verso l’installazione del trojan. In questo specifico caso, l’app si chiama TrustBastion (o in varianti successive Premium Club) ed è la classica app promossa tramite annunci pubblicitari ingannevoli che “avvertono” l’utente di presunti virus presenti sul telefono.
L’app sembra inizialmente innocua ma richiede all’utente di installare un aggiornamento per funzionare. La schermata di aggiornamento, tuttavia, è esterna ai metodi ufficiali per l’aggiornamento delle app ma è realizzata per simulare fedelmente sia la schermata di Android che la schermata di aggiornamento del Google Play Store per non destare sospetti, ingannando (purtroppo) soprattutto gli utenti poco attenti o inesperti.
I malintenzionati stanno al sicuro sfruttando il “polimorfismo lato server”
Una volta che l’utente ha accettato di installare l’aggiornamento, l’app non procede con il download di quanto promesso: in realtà, contatta un server che reindirizza il download verso una cartella ospitata sulla piattaforma Hugging Face.
Questo aspetto, come anticipato, è molto importante dal momento che Hugging Face non viene riconosciuta dagli antivirus come piattaforma dannosa. La cartella sulla piattaforma viene aggiornata automaticamente ogni 15 minuti con una nuova versione del virus.
Il codice rimane praticamente sempre lo stesso ma subisce piccole variazioni che modificano l’impronta digitale (hash) del file, permettendo al malware di aggirare i rilevamenti basati sulle firme digitali statiche. Questa tecnica si chiama polimorfismo lato server.
Una volta installato, il trojan punta al controllo totale del dispositivo
Terminata la procedura di installazione dell’aggiornamento fittizio, sul dispositivo infettato sarà stato installato il vero e proprio malware. Questo inizierà a chiedere all’utente che gli vengano concessi permessi invasivi, mascherando le proprie richieste dietro componenti di sicurezza per raggiungere l’obiettivo: l’attivazione dei servizi di accessibilità.
Ottenuto questo pemesso, il trojan potrà registrare lo schermo, monitorare ciò che fa l’utente e sovrapporre finestre “fraudolente” a quelle legittime per rubare credenziali d’accesso, puntando soprattutto a quelle delle app bancarie e delle app di messaggistica (che spesso vengono usate per gli OTP).
A questo punto, il trojan trasmette la registrazione dello schermo su un server con il quale mantiene una connessione costante. L’infrastruttura che c’è dietro viene utilizzata come server remoto di controllo: invia comandi, riceve i dati rubati, fornisce informazioni di configurazioni aggiornate.
I malintenzionati hanno sfruttato un “limite” di Hugging Face
In generale, questa tipologia d’attacco risulta efficace perché è progettata per essere resiliente: quando un repository (ovvero un archivio digitale) viene chiuso, i malintenzionati possono spostare rapidamente l’operazione su un altro archivio mantenendo lo stesso codice (con le piccole modifiche di cui parlavamo poco sopra).
Bitdefender ha contattato Hugging Face prima di pubblicare la ricerca di cui abbiamo appena parlato e ciò ha portato alla completa rimozione dei dataset che ospitavano questo malware.
Tuttavia, la facilità con cui è possibile caricare contenuti sulla piattaforma, vista l’assenza di filtri rigorosi, rimane un punto debole che può essere sfruttato facilmente dai malintenzionati. La speranza è che, in futuro, anche Hugging Face possa risolvere questa criticità per la sicurezza.