Cercetătorii au avertizat asupra unor noi atacuri cibernetice care utilizează platforma Hugging Face ca depozit pentru a distribui mii de variaţii de încărcături maliţioase cu troieni de acces la distanţă (RAT) pentru Android, prin care se fură datele de autentificare pentru servicii financiare.

Hugging Face este o platformă de găzduire online open-source, folosită de obicei pentru a stoca modele de învăţare automată şi inteligenţă artificială (IA), permiţând dezvoltatorilor să partajeze sau să antreneze modele prestabilite, seturi de date sau aplicaţii, scrie El Economista.

Cu toate acestea, această platformă concepută ca spaţiu deschis, accesibil oricărui utilizator, este folosită de infractori cibernetici pentru a distribui malware cu scopuri maliţioase, ocolind filtrele care reglementează conţinutul ce poate fi încărcat pe Hugging Face, filtrat de obicei prin antivirusul ClamAV.

Acest lucru a fost semnalat de cercetătorii companiei de securitate cibernetică Bitdefender, care au explicat că încărcăturile maliţioase fac parte dintr-o campanie de distribuţie de RAT pentru dispozitive Android, combinând metode de inginerie socială cu resursele Hugging Face pentru a compromite dispozitivele şi, folosind Serviciile de Accesibilitate ale Android, pentru a fura datele financiare ale utilizatorilor.

Serviciul Hugging Face a fost folosit abuziv pentru a găzdui şi distribui mii de variante APK periculoase, aşa cum a detaliat compania de securitate cibernetică într-un comunicat.

Modul de operare începe prin folosirea metodelor de inginerie socială, prin care actorii maliţioşi încearcă să convingă utilizatorii să descarce o aplicaţie aparent legitimă numită TrustBastion. Aceştia afişează reclame de tip „scareware”, menite să sperie utilizatorii şi să-i păcălească, făcându-i să creadă că dispozitivele lor sunt infectate sau au defecţiuni grave.

În acest context, aplicaţia TrustBastion se prezintă ca o soluţie gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Deşi aplicaţia nu conţine funcţii periculoase, odată instalată, solicită utilizatorilor să descarce o actualizare obligatorie pentru a continua să o folosească, printr-o pagină falsă care imită magazinul de aplicaţii Google Play.

Actualizarea cerută nu descarcă direct încărcătura maliţioasă, ci este momentul în care intervine Hugging Face. Aceasta se conectează la un server (trustbastion.com) asociat aplicaţiei TrustBastion, care redirecţionează către depozitul de date Hugging Face, unde este găzduit conţinutul APK maliţios.

Astfel, încărcătura care conţine troianul se descarcă din infrastructura depozitului şi se distribuie prin reţeaua CDN. Pentru a evita detectarea de sistemele Hugging Face, infractorii generează noi încărcături la aproximativ fiecare 15 minute, folosind o metodă cunoscută sub numele de polimorfism pe server, care permite reutilizarea codului fără a modifica logica principală, trecând astfel neobservată.

După descărcarea pe dispozitivul Android, începe a doua fază a atacului. Troianul exploatează permisiunile Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea încercărilor de dezinstalare.

Malware-ul se prezintă ca o funcţie de „Securitate a Telefonului” şi ghidează utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. Astfel, poate monitoriza activitatea utilizatorului pe smartphone, realizând capturi de ecran şi filtrând informaţiile serviciilor financiare. Troianul poate chiar să se deghizeze în servicii financiare precum Alipay sau WeChat pentru a obţine codul de blocare al ecranului la autentificare.

Odată obţinute datele, troianul le trimite actorilor maliţioşi printr-un server centralizat de comandă şi control (C2), de unde se coordonează distribuţia încărcăturii şi exfiltrarea datelor.

Bitdefender a precizat că, în momentul cercetării, depozitul avea aproximativ 29 de zile şi acumulase „peste 6.000 de confirmări”. În timpul analizei, depozitul a fost eliminat la sfârşitul lunii decembrie şi a reapărut sub un nou depozit, asociat de data aceasta unei aplicaţii Android numită Premium Club.

După cercetare, Bitdefender a informat Hugging Face despre existenţa acestui depozit, care a fost eliminat de platformă.