Cercetătorii au avertizat asupra unor noi atacuri cibernetice care utilizează platforma Hugging Face ca depozit pentru a distribui mii de variații de încărcături malițioase cu troieni de acces la distanță (RAT) pentru Android, prin care se fură datele de autentificare pentru servicii financiare.
Hugging Face este o platformă de găzduire online open-source, folosită de obicei pentru a stoca modele de învățare automată și inteligență artificială (IA), permițând dezvoltatorilor să partajeze sau să antreneze modele prestabilite, seturi de date sau aplicații. Cu toate acestea, această platformă concepută ca spațiu deschis, accesibil oricărui utilizator, este folosită de infractori cibernetici pentru a distribui malware cu scopuri malițioase, ocolind filtrele care reglementează conținutul ce poate fi încărcat pe Hugging Face, filtrat de obicei prin antivirusul ClamAV.
Acest lucru a fost semnalat de cercetătorii companiei de securitate cibernetică Bitdefender, care au explicat că încărcăturile malițioase fac parte dintr-o campanie de distribuție de RAT pentru dispozitive Android, combinând metode de inginerie socială cu resursele Hugging Face pentru a compromite dispozitivele și, folosind Serviciile de Accesibilitate ale Android, pentru a fura datele financiare ale utilizatorilor.
Modul de operare începe prin folosirea metodelor de inginerie socială, prin care actorii malițioși încearcă să convingă utilizatorii să descarce o aplicație aparent legitimă numită TrustBastion. Aceștia afișează reclame de tip „scareware”, menite să sperie utilizatorii și să-i păcălească, făcându-i să creadă că dispozitivele lor sunt infectate sau au defecțiuni grave.
În acest context, aplicația TrustBastion se prezintă ca o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Deși aplicația nu conține funcții periculoase, odată instalată, solicită utilizatorilor să descarce o actualizare obligatorie pentru a continua să o folosească, printr-o pagină falsă care imită magazinul de aplicații Google Play.
Actualizarea cerută nu descarcă direct încărcătura malițioasă, ci este momentul în care intervine Hugging Face. Aceasta se conectează la un server (trustbastion.com) asociat aplicației TrustBastion, care redirecționează către depozitul de date Hugging Face, unde este găzduit conținutul APK malițios.
Astfel, încărcătura care conține troianul se descarcă din infrastructura depozitului și se distribuie prin rețeaua CDN. Pentru a evita detectarea de sistemele Hugging Face, infractorii generează noi încărcături la aproximativ fiecare 15 minute, folosind o metodă cunoscută sub numele de polimorfism pe server, care permite reutilizarea codului fără a modifica logica principală, trecând astfel neobservată.
După descărcarea pe dispozitivul Android, începe a doua fază a atacului. Troianul exploatează permisiunile Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea încercărilor de dezinstalare.
Malware-ul se prezintă ca o funcție de „Securitate a Telefonului” și ghidează utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. Astfel, poate monitoriza activitatea utilizatorului pe smartphone, realizând capturi de ecran și filtrând informațiile serviciilor financiare. Troianul poate chiar să se deghizeze în servicii financiare precum Alipay sau WeChat pentru a obține codul de blocare al ecranului la autentificare.
Odată obținute datele, troianul le trimite actorilor malițioși printr-un server centralizat de comandă și control (C2), de unde se coordonează distribuția încărcăturii și exfiltrarea datelor.
Bitdefender a precizat că, în momentul cercetării, depozitul avea aproximativ 29 de zile și acumulase „peste 6.000 de confirmări”. În timpul analizei, depozitul a fost eliminat la sfârșitul lunii decembrie și a reapărut sub un nou depozit, asociat de data aceasta unei aplicații Android numită Premium Club.
După cercetare, Bitdefender a informat Hugging Face despre existența acestui depozit, care a fost eliminat de platformă.
