Cercetătorii în securitate cibernetică avertizează asupra unei campanii de atacuri informatice care vizează dispozitivele Android și utilizează platforma Hugging Face pentru distribuirea a mii de variante de aplicații malițioase, relatează TechRadar.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Atacurile au ca scop furtul datelor de autentificare pentru servicii financiare, prin intermediul unor troieni de acces la distanță (RAT).
Potrivit Tom’s Guide, Hugging Face este o platformă open-source folosită în mod obișnuit de dezvoltatori pentru găzduirea și distribuirea de modele de inteligență artificială, seturi de date și aplicații de învățare automată. Datorită caracterului său deschis, aceasta a fost exploatată de infractori cibernetici ca infrastructură de distribuție pentru malware, ocolind filtrele automate de securitate, inclusiv soluția antivirus ClamAV utilizată de platformă.
Potrivit cercetătorilor companiei Bitdefender, atacurile fac parte dintr-o campanie de amploare care combină tehnici de inginerie socială cu resursele tehnice ale Hugging Face pentru a compromite dispozitive Android. Infractorii au încărcat mii de fișiere APK malițioase în depozite publice, folosind platforma ca punct intermediar de livrare a încărcăturilor periculoase.
Cum funcționează atacul
Atacul începe prin convingerea utilizatorilor să descarce o aplicație aparent legitimă, numită TrustBastion. Aceasta este promovată prin reclame de tip scareware, care afișează mesaje alarmiste și îi fac pe utilizatori să creadă că telefonul lor este infectat sau prezintă probleme grave de securitate.
Aplicația se prezintă drept o soluție gratuită de securitate, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Inițial, TrustBastion nu conține funcționalități malițioase, însă după instalare solicită o „actualizare obligatorie” pentru a putea fi utilizată în continuare.
Actualizarea este descărcată printr-o pagină falsă care imită magazinul Google Play. În această etapă, aplicația se conectează la un server asociat (trustbastion.com), care redirecționează utilizatorul către un depozit de pe Hugging Face, unde este găzduită încărcătura malițioasă.
Malware polimorf și distribuție rapidă
Pentru a evita detectarea, atacatorii folosesc o tehnică numită polimorfism pe server, prin care generează variante noi ale fișierelor malițioase la aproximativ fiecare 15 minute. Deși logica principală a codului rămâne aceeași, modificările frecvente permit evitarea semnăturilor antivirus și prelungesc durata de viață a campaniei.
Fișierele sunt distribuite prin infrastructura CDN a Hugging Face, ceea ce le conferă un grad ridicat de încredere aparentă și face mai dificilă blocarea lor automată.
Exploatarea serviciilor de accesibilitate Android
După instalare, troianul trece în a doua fază a atacului, exploatând Serviciile de Accesibilitate Android. Malware-ul se prezintă drept o funcție de „Securitate a telefonului” și ghidează utilizatorul pas cu pas pentru a activa aceste permisiuni sensibile.
Odată obținut accesul, aplicația poate:
- monitoriza activitatea utilizatorului,
- realiza capturi de ecran,
- bloca încercările de dezinstalare,
- intercepta informații afișate de aplicații bancare sau financiare.
În unele cazuri, troianul se deghizează în aplicații populare de plată, precum Alipay sau WeChat, pentru a obține codul de deblocare al telefonului în timpul autentificării.
Exfiltrarea datelor și infrastructura de control
Datele colectate sunt transmise către un server centralizat de comandă și control (C2), utilizat de atacatori pentru coordonarea infectărilor și furtul informațiilor financiare.
Bitdefender a precizat că depozitul malițios analizat avea o vechime de aproximativ 29 de zile și acumulase peste 6.000 de descărcări confirmate. După eliminarea acestuia la finalul lunii decembrie, atacatorii au reapărut rapid cu un nou depozit, asociat unei aplicații Android numite Premium Club.
În urma notificării transmise de Bitdefender, Hugging Face a eliminat depozitele malițioase identificate. Cercetătorii avertizează însă că astfel de campanii pot reapărea rapid, folosind aceleași tehnici și infrastructuri similare.
