Avertisment asupra malware-ului periculos pentru utilizatorii Android
Cercetătorii au semnalat recente atacuri cibernetice care vizează utilizatorii Android, folosind platforma Hugging Face pentru a distribui mii de variații de troieni de acces la distanță (RAT), care compromit datele financiare ale utilizatorilor.
Utilizarea abuzivă a platformei Hugging Face
Hugging Face, o platformă open-source destinată stocării modelelor de învățare automată, este exploatată de infractori cibernetici pentru a distribui malware, ocolind filtrele de securitate precum antivirusul ClamAV. Aceasta a fost confirmată de cercetătorii companiei de securitate cibernetică Bitdefender.
Modul de operare al atacului
Infractorii cibernetici utilizează ingineria socială pentru a convinge utilizatorii să descarce o aplicație aparent legitimă numită TrustBastion. Această aplicație se prezintă ca o soluție gratuită de securitate cibernetică, dar, odată instalată, solicită utilizatorilor să descarce o actualizare obligatorie printr-o pagină falsă care imită magazinul de aplicații Google Play.
Actualizarea este, de fapt, un mecanism prin care Hugging Face se conectează la un server asociat aplicației TrustBastion, redirecționând utilizatorii către depozitul de malware. Aceasta permite descărcarea troianului, care este generat constant pentru a evita detectarea.
Impactul malware-ului asupra utilizatorilor
Troianul folosește permisiunile Serviciilor de Accesibilitate Android pentru a monitoriza activitatea utilizatorului, realizând capturi de ecran și filtrând informațiile financiare. Acesta poate de asemenea să se deghizeze în aplicații financiare legitime pentru a obține codul de blocare al ecranului la autentificare.
Odată ce datele sunt obținute, acestea sunt trimise către un server centralizat de comandă și control (C2) pentru exfiltrare. În timpul cercetării, depozitul de malware avea aproximativ 29 de zile și acumulase peste 6.000 de confirmări.
Acțiuni întreprinse de Bitdefender
Bitdefender a informat Hugging Face despre existența acestui depozit, care a fost ulterior eliminat. Cu toate acestea, cercetările au arătat că depozitul a reapărut sub un nou nume, asociat unei aplicații numite Premium Club.
Concluzie
Această campanie de distribuție a malware-ului subliniază vulnerabilitățile platformelor open-source și riscurile asociate descărcării aplicațiilor din surse neoficiale, având un impact potențial grav asupra securității datelor financiare ale utilizatorilor Android.