Sursa foto: Freepik
Din cuprinsul articolului
Cercetătorii au avertizat asupra unor atacuri cibernetice care folosesc platforma Hugging Face ca depozit pentru distribuirea a mii de variante de programe malițioase, inclusiv troieni de acces la distanță (RAT) pentru Android, utilizați pentru sustragerea datelor de autentificare ale serviciilor financiare, potrivit El Economista.
Platforma, utilizată în scopuri malițioase
Hugging Face este o platformă online utilizată, de obicei, pentru găzduirea și partajarea modelelor de învățare automată și inteligență artificială. Dezvoltatorii o folosesc pentru a publica modele prestabilite, seturi de date sau aplicații, într-un spațiu deschis, accesibil oricărui utilizator. Totuși, potrivit El Economista, această deschidere a fost exploatată de către atacatori.
Cercetătorii au arătat că Hugging Face a fost folosită pentru a distribui malware, ocolind filtrele de securitate care reglementează conținutul care poate fi încărcat pe platformă. De regulă, fișierele sunt verificate cu antivirusul ClamAV, însă atacatorii au reușit să evite detectarea.
Situația a fost semnalată de cercetătorii companiei de securitate cibernetică Bitdefender, care au explicat că încărcăturile malițioase fac parte dintr-o campanie de distribuție de RAT pentru Android. Aceasta combină tehnici de inginerie socială cu resursele puse la dispoziție de Hugging Face, cu scopul de a compromite dispozitivele și de a fura date financiare, prin abuzarea Serviciilor de Accesibilitate Android.
Primele etape ale modului de operare
Conform Bitdefender, serviciul Hugging Face a fost folosit abuziv pentru a găzdui și distribui mii de variante periculoase de fișiere APK.
Modul de operare a început prin folosirea unor metode de inginerie socială, prin care actorii malițioși au încercat să convingă utilizatorii să descarce o aplicație aparent legitimă, numită TrustBastion. În acest scop, au afișat reclame de tip „scareware”, concepute să sperie și să inducă în eroare utilizatorii, determinându-i să creadă că dispozitivele lor sunt infectate sau au probleme grave.
Copil care folosește telefonul. Sursa foto: dreamstime.com
În acest context, TrustBastion este prezentată ca o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Aplicația nu conține inițial funcții periculoase, însă, după instalare, solicită descărcarea unei „actualizări obligatorii” pentru a putea fi utilizată. Această actualizare este oferită printr-o pagină falsă care imită magazinul Google Play.
Actualizarea nu instalează malware-ul
Actualizarea nu instalează direct malware-ul. În acest punct, aplicația se conectează la un server asociat TrustBastion, care redirecționează către un depozit de date găzduit pe Hugging Face. De acolo este descărcată încărcătura malițioasă, distribuită prin infrastructura CDN a platformei.
Pentru a evita detectarea, infractorii generează noi variante de încărcături la aproximativ fiecare 15 minute, folosind o tehnică de polimorfism pe server. Aceasta permite modificarea constantă a fișierelor fără schimbarea codului.
După instalare, troianul solicită acces la Serviciile de Accesibilitate Android. Sub pretextul unei funcții de „Securitate a Telefonului”, aplicația ghidează utilizatorii să acorde aceste permisiuni, care permit capturi de ecran, monitorizarea activității și blocarea dezinstalării.
Atac cibernetic. Sursa foto: pixabay
Datele colectate, transmise către un server centralizat de comandă și control
Malware-ul poate urmări interacțiunile utilizatorului cu aplicații financiare și se poate „deghiza” în servicii precum Alipay sau WeChat, pentru a obține codul de blocare al ecranului. Datele colectate sunt transmise către un server centralizat de comandă și control, de unde se coordonează distribuția încărcăturii și exfiltrarea datelor.
Bitdefender a precizat că, în momentul cercetării, depozitul malițios avea aproximativ 29 de zile și acumulase „peste 6.000 de confirmări”.
După eliminarea acestuia la finalul lunii decembrie, a apărut un nou depozit, al unei aplicații Android numite Premium Club. Compania a informat Hugging Face, iar depozitul a fost ulterior eliminat de platformă.
