Bitdefender descoperă o campanie Android RAT cu payload găzduit pe Hugging Face - atacatorii folosesc servicii de accesibilitate pentru control persistent

O campanie de troian Android folosește Serviciile de accesibilitate pentru a prelua controlul dispozitivelor , potrivit Bitdefender , care descrie și modul în care atacatorii au abuzat de infrastructura Hugging Face pentru a livra componenta principală (RAT – „troian de acces la distanță”, adică un program care permite controlul de la distanță al telefonului). Cercetătorii Bitdefender arată că operațiunea combină inginerie socială (mesaje și interfețe înșelătoare), o lanț de infectare în doi pași (dropper + încărcătură malițioasă) și, esențial, solicitarea insistentă a accesului la Serviciile de accesibilitate din Android. Aceste servicii sunt funcții legitime, concepute pentru a ajuta utilizatorii (de exemplu, persoane cu dizabilități) să controleze mai ușor telefonul, dar, odată acordate unei aplicații malițioase, pot oferi vizibilitate și control extins asupra interacțiunilor de pe ecran. Lanțul de infectare începe cu o aplicație numită TrustBastion, prezentată ca soluție de securitate. Utilizatorul ar ajunge la ea, cel mai probabil, prin reclame sau alerte false care susțin că telefonul este infectat și cer instalarea unei „platforme de securitate”. După instalare, aplicația afișează imediat un mesaj de tip „actualizare necesară”, cu elemente vizuale care imită ferestrele legitime de actualizare Android/Google Play, crescând șansele ca victima să accepte pașii următori. În etapa următoare, dropper-ul nu descarcă direct un fișier malițios de pe un domeniu suspect, ci primește un răspuns care redirecționează către un depozit Hugging Face ce găzduiește fișierul APK final. Bitdefender notează că atacatorii preferă astfel de domenii bine-cunoscute pentru a reduce suspiciunile și blocările automate asociate „domeniilor cu încredere scăzută”. Miza principală, din perspectiva controlului dispozitivului, este obținerea permisiunilor prin Serviciile de accesibilitate. După instalarea încărcăturii malițioase, aceasta se prezintă drept componentă de sistem („Phone Security”) și ghidează utilizatorul să activeze accesibilitatea, normalizând cererea ca pe un pas „necesar” de securitate sau verificare. Bitdefender subliniază explicit rolul acestei permisiuni în preluarea controlului: „Odată acordată, această permisiune oferă RAT-ului o vizibilitate amplă asupra interacțiunilor utilizatorului pe întreg dispozitivul.” Odată obținut accesul la accesibilitate, malware-ul își extinde capabilitățile cerând și alte permisiuni sensibile, inclusiv pentru înregistrarea ecranului, transmiterea ecranului și afișarea de suprapuneri (ferestre peste alte aplicații). În practică, combinația dintre accesibilitate și suprapuneri permite nu doar observarea a ceea ce face utilizatorul, ci și manipularea interfeței în timp real, inclusiv prin afișarea unor ecrane false de autentificare pentru furt de credențiale. Pe baza analizei Bitdefender, elementele-cheie ale campaniei (cu accent pe accesibilitate ca mecanism de control) includ: lanț de infectare în doi pași: aplicație „dropper” urmată de încărcătura RAT; abuzarea Hugging Face pentru găzduirea și distribuția fișierelor APK malițioase; generarea frecventă de variante noi (aproximativ la 15 minute) pentru a evita detecția bazată pe „amprentă” (hash); folosirea Serviciilor de accesibilitate pentru vizibilitate persistentă și control asupra dispozitivului; afișarea de interfețe false (inclusiv financiare) pentru furt de credențiale și colectarea datelor de pe ecranul de blocare; comunicare cu un server de comandă și control (C2) pentru livrarea încărcăturilor și exfiltrarea datelor. În ceea ce privește infrastructura, Bitdefender indică existența unui server C2 centralizat care coordonează comenzile și transferul de date , menționând un endpoint identificat la adresa IP 154.198.48.57 (port 5000) și legături cu domeniul trustbastion[.]com. Totodată, cercetarea arată că depozitul inițial a dispărut la finalul lui decembrie 2025, iar operațiunea a continuat sub o altă „identitate” de aplicație (Premium Club), cu același cod de bază, o tactică folosită pentru a prelungi perioada până la detecție. Bitdefender precizează că a contactat Hugging Face înainte de publicarea cercetării, iar platforma a eliminat seturile de date care conțineau malware. Pentru organizații și utilizatori, concluzia practică este că Serviciile de accesibilitate rămân o țintă majoră pentru atacatori: permisiunea este legitimă, dar, dacă este acordată unei aplicații malițioase, poate transforma rapid un telefon într-un dispozitiv controlabil de la distanță, cu impact direct asupra confidențialității și a datelor financiare. [...]