Una nuova campagna di malware particolarmente insidiosa sta prendendo di mira gli utenti Android, con l’obiettivo di sottrarre credenziali bancarie, dati personali e codici di autenticazione. A segnalarla sono i ricercatori di Bitdefender, che descrivono un’operazione ben organizzata, capace di aggirare diversi sistemi di difesa tradizionali.
L’elemento più preoccupante non è solo la complessità tecnica del trojan, ma il modo in cui viene distribuito: i criminali informatici sfruttano piattaforme legittime e affidabili per nascondere il codice dannoso, riducendo drasticamente le probabilità di blocco automatico.
Un RAT che prende il controllo completo dello smartphone
Il malware identificato rientra nella categoria dei RAT (Remote Access Trojan), ovvero software che permettono a un attaccante di controllare il dispositivo infetto a distanza. Una volta installato, il trojan è in grado di osservare tutto ciò che avviene sullo schermo, intercettare input dell’utente e sovrapporre interfacce false a quelle reali. Il bersaglio principale sono le app bancarie e di pagamento, ma anche i servizi di messaggistica, spesso utilizzati per la ricezione dei codici OTP. In pratica, lo smartphone diventa una finestra aperta sul conto della vittima.
La trappola iniziale: app civetta e falsi avvisi di sicurezza
La catena di infezione parte da applicazioni create appositamente per ingannare l’utente. In questa campagna sono state individuate app con nomi come TrustBastion o Premium Club, pubblicizzate tramite annunci ingannevoli che segnalano presunte infezioni o problemi di sicurezza sul dispositivo. Dopo l’installazione, l’app chiede di scaricare un “aggiornamento critico” per poter funzionare. La schermata utilizzata per questa operazione imita fedelmente l’interfaccia di Android e del Google Play Store, aumentando la credibilità del messaggio e spingendo l’utente meno esperto ad accettare.
Il ruolo chiave di Hugging Face nella distribuzione
Il falso aggiornamento non proviene però dai canali ufficiali. L’app contatta un server remoto che reindirizza il download verso archivi ospitati su Hugging Face, piattaforma nota per la condivisione di modelli e dataset legati all’intelligenza artificiale. Questa scelta non è casuale: Hugging Face gode di un’ottima reputazione e non viene bloccata dai filtri di sicurezza che normalmente intercettano fonti sospette. In questo modo, il malware riesce a superare i controlli automatici senza destare allarmi.
Polimorfismo lato server: il trucco per restare invisibili
Per rendere l’attacco ancora più efficace, gli autori del trojan aggiornano il file malevolo ogni 15 minuti, introducendo piccole modifiche al codice. Il comportamento del malware resta invariato, ma la sua “firma digitale” cambia continuamente. Questa tecnica, nota come polimorfismo lato server, consente di eludere i sistemi antivirus basati sul riconoscimento delle firme statiche, rendendo il rilevamento molto più complesso. Una volta installato, il trojan richiede una serie di permessi avanzati, presentandoli come necessari per la sicurezza del dispositivo. L’obiettivo finale è ottenere l’accesso ai servizi di accessibilità, una delle aree più sensibili di Android.
Con questo livello di autorizzazione, il malware può leggere ciò che appare sullo schermo, interagire con le app e mostrare finestre sovrapposte identiche a quelle originali, inducendo l’utente a inserire credenziali che finiscono direttamente sui server di comando e controllo.
