Alertă cu privire la atacuri cibernetice prin Hugging Face
Cercetătorii au emis un avertisment referitor la noi atacuri cibernetice care utilizează Hugging Face ca mijloc de stocare pentru mii de variații de malware, inclusiv troieni de acces la distanță (RAT) destinați dispozitivelor Android. Aceste atacuri vizează furtul datelor de autentificare pentru servicii financiare. Hugging Face, o platformă open-source, este frecvent utilizată pentru a găzdui modele de învățare automată și inteligență artificială, permițând dezvoltatorilor să partajeze și să antreneze diverse resurse. Totuși, această caracteristică deschisă este exploatată de infractori cibernetici care distribuie malware, ocolind filtrele standard care reglementează conținutul acceptat pe platformă.
Utilizarea abuzivă a Hugging Face
Studiul realizat de cercetătorii de la Bitdefender a evidențiat faptul că aceste încărcături malițioase fac parte dintr-o campanie de distribuție de RAT pe platformele Android. Aceștia au explicat că infractorii folosesc ingineria socială împreună cu resursele Hugging Face pentru a compromite dispozitive, recurgând la Serviciile de Accesibilitate ale Android pentru a fura informațiile financiare ale utilizatorilor. Hugging Face a fost, astfel, utilizată pentru a găzdui mii de variante periculoase de aplicații APK.
Strategii de inginerie socială
Metoda folosită pentru infiltrarea dispozitivelor implică tehnici de inginerie socială. Actorii rău intenționați încearcă să convingă utilizatorii să descarce o aplicație numită TrustBastion, care se prezintă ca legitimă. Aceștia generează reclame alarmante, menite să îi sperie pe utilizatori, inducându-le ideea că dispozitivele sunt infectate sau au defecțiuni majore. Aplicația TrustBastion se prezintă astfel ca o soluție gratuită pentru problemele de securitate cibernetică, afirmând că poate detecta fraude, mesaje false sau tentative de phishing.
Installarea malware-ului
Deși aplicația nu conține funcții periculoase în sine, după instalare, aceasta solicită utilizatorului descărcarea unei actualizări esențiale pentru a continua utilizarea. Aceasta se efectuează printr-o pagină falsă ce imită magazinul de aplicații Google Play. Această actualizare nu descarcă direct malware-ul, însă redirecționează utilizatorul către un server care îl conectează la depozitul Hugging Face, unde este stocat conținutul APK malițios. Astfel, troianul se descarcă din infrastructura depozitului și circulă printr-o rețea CDN.
Evaziunea detectării
În scopul de a evita detecția de către sistemele Hugging Face, infractorii generează noi variații ale malware-ului la fiecare 15 minute. Această tehnică este cunoscută sub numele de polimorfism pe server, ce permite reutilizarea codului fără a schimba logica principală, facilitând astfel ocolirea măsurilor de securitate.
Funcționalitatea malware-ului
Odată descărcat pe dispozitivul Android, malware-ul începe o a doua etapă a atacului. Troianul se folosește de permisiunile Serviciilor de Accesibilitate Android pentru a accesa capturi de ecran și a bloca încercările de dezinstalare. Malware-ul se prezintă ca o funcție de „Securitate a Telefonului”, ghidând utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. În acest fel, are capacitatea de a monitoriza activitatea utilizatorului, capturând informații financiare și interceptând date sensibile.
Informații privind exfiltrarea datelor
Troianul își deghizează activitatea sub formă de servicii financiare legitime precum Alipay sau WeChat, obținând coduri de blocare ale ecranului la autentificare. Odată ce datele sunt colectate, acestea sunt transmise către actorii malițioși prin intermediul unui server centralizat de comandă și control, care coordonează distribuirea malware-ului și exfiltrarea datelor.
Răspunsul Bitdefender
Bitdefender a raportat că, în timpul analizei, depozitul de pe Hugging Face avea aproximativ 29 de zile de activitate și înregistrase peste 6.000 de confirmări. Ulterior, depozitul a fost eliminat la sfârșitul lunii decembrie, dar a reapărut sub un nou nume, asociat acum cu o aplicație Android denumită Premium Club. Bitdefender a informat Hugging Face despre acest depozit malițios, care a fost înlăturat de platformă.
