Cercetătorii în securitate cibernetică au avertizat asupra unei noi campanii de atacuri informatice care utilizează platforma Hugging Face ca depozit pentru distribuirea a mii de variante de aplicații Android infectate cu troieni de acces la distanță, folosiți pentru furtul datelor de autentificare la servicii financiare.
Hugging Face, o platformă online open-source utilizată frecvent pentru găzduirea și partajarea de modele de inteligență artificială și învățare automată, a fost exploatată de infractori cibernetici pentru a distribui malware, ocolind astfel mecanismele de filtrare existente.
Problemă
Potrivit Mediafax, cercetătorii Bitdefender au semnalat problema, identificând o campanie complexă de distribuție a troienilor RAT pentru Android. Aceasta combină tehnici de inginerie socială cu infrastructura Hugging Face pentru a compromite dispozitive mobile și a fura date financiare prin abuzarea Serviciilor de Accesibilitate ale Android.
Aplicații infectate
Conform Bitdefender, Hugging Face a fost folosit pentru a găzdui și distribui mii de fișiere APK periculoase, generate continuu pentru a evita detectarea. Atacul începe prin convingerea utilizatorilor să descarce o aplicație aparent legitimă, numită TrustBastion, promovată prin reclame de tip „scareware”, care induc panică și sugerează existența unor probleme serioase de securitate ale telefonului.
Descarcă falsa actualizare
Aplicația se prezintă drept o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false și tentative de phishing. După instalare, utilizatorilor li se solicită descărcarea unei „actualizări obligatorii” prin intermediul unei pagini false care imită magazinul Google Play.
Conexiunea la server
În această etapă, aplicația se conectează la un server asociat TrustBastion, care redirecționează utilizatorul către un depozit Hugging Face, de unde este descărcată încărcătura malițioasă. Distribuția se face prin rețeaua CDN a platformei, mascherând sursa reală a malware-ului.
Păcăleala polimorfismului
Atacatorii generează noi variante ale aplicației la fiecare aproximativ 15 minute, folosind o tehnică de polimorfism pe server pentru a modifica constant fișierele fără a altera funcționalitatea principală.
Activarea malware-ului
După instalare, troianul solicită activarea Serviciilor de Accesibilitate Android, prezentându-se drept o funcție de „Securitate a Telefonului”. Odată activat, malware-ul poate monitoriza activitatea utilizatorului, realiza capturi de ecran, bloca dezinstalarea aplicației și intercepta datele introduse în aplicații financiare.
Deghizarea
În unele cazuri, troianul se deghizează în aplicații de plată cunoscute, precum Alipay sau WeChat, pentru a obține codul de blocare al ecranului în momentul autentificării. Datele colectate sunt apoi transmise către un server centralizat de comandă și control utilizat pentru coordonarea atacului și exfiltrarea informațiilor.
Statistici
Bitdefender a precizat că, la momentul analizei, depozitul malițios avea o vechime de aproximativ 29 de zile și acumulase peste 6.000 de descărcări confirmate. Deși a fost eliminat la sfârșitul lunii decembrie, acesta a reapărut ulterior sub o nouă identitate, asociată unei aplicații Android denumite Premium Club.
Avertizare
În urma notificării transmise de Bitdefender, platforma Hugging Face a eliminat și acest nou depozit, însă specialiștii avertizează că astfel de abuzuri pot reapărea, profitând de infrastructuri legitime și de încrederea utilizatorilor.
Cu toate acestea, utilizatorii trebuie să fie vigilenți pentru a-și proteja datele personale și pentru a evita instalarea aplicațiilor suspecte, în special din surse necunoscute.