Alertă pe Android: toate dispozitivele sunt în pericol din cauza unui nou virus care fură datele bancare

Hugging Face este o platformă de găzduire online open-source, folosită de obicei pentru a stoca modele de învățare automată și inteligență artificială (IA), permițând dezvoltatorilor să partajeze sau să antreneze modele prestabilite, seturi de date sau aplicații, scrie El Economista.

Cu toate acestea, această platformă concepută ca spațiu deschis, accesibil oricărui utilizator, este folosită de infractori cibernetici pentru a distribui malware cu scopuri malițioase, ocolind filtrele care reglementează conținutul ce poate fi încărcat pe Hugging Face, filtrat de obicei prin antivirusul ClamAV.

Acest lucru a fost semnalat de cercetătorii companiei de securitate cibernetică Bitdefender, care au explicat că încărcăturile malițioase fac parte dintr-o campanie de distribuție de RAT pentru dispozitive Android, combinând metode de inginerie socială cu resursele Hugging Face pentru a compromite dispozitivele și, folosind Serviciile de Accesibilitate ale Android, pentru a fura datele financiare ale utilizatorilor.

Inginerie socială și aplicație malițioasă care se conectează la Hugging Face

Serviciul Hugging Face a fost folosit abuziv pentru a găzdui și distribui mii de variante APK periculoase, așa cum a detaliat compania de securitate cibernetică într-un comunicat.

Modul de operare începe prin folosirea metodelor de inginerie socială, prin care actorii malițioși încearcă să convingă utilizatorii să descarce o aplicație aparent legitimă numită TrustBastion. Aceștia afișează reclame de tip „scareware”, menite să sperie utilizatorii și să-i păcălească, făcându-i să creadă că dispozitivele lor sunt infectate sau au defecțiuni grave.

În acest context, aplicația TrustBastion se prezintă ca o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Deși aplicația nu conține funcții periculoase, odată instalată, solicită utilizatorilor să descarce o actualizare obligatorie pentru a continua să o folosească, printr-o pagină falsă care imită magazinul de aplicații Google Play.

Actualizarea cerută nu descarcă direct încărcătura malițioasă, ci este momentul în care intervine Hugging Face. Aceasta se conectează la un server (trustbastion.com) asociat aplicației TrustBastion, care redirecționează către depozitul de date Hugging Face, unde este găzduit conținutul APK malițios.

Astfel, încărcătura care conține troianul se descarcă din infrastructura depozitului și se distribuie prin rețeaua CDN. Pentru a evita detectarea de sistemele Hugging Face, infractorii generează noi încărcături la aproximativ fiecare 15 minute, folosind o metodă cunoscută sub numele de polimorfism pe server, care permite reutilizarea codului fără a modifica logica principală, trecând astfel neobservată.

Exploatarea serviciilor de accesibilitate Android pentru furt de date

După descărcarea pe dispozitivul Android, începe a doua fază a atacului. Troianul exploatează permisiunile Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea încercărilor de dezinstalare.

Malware-ul se prezintă ca o funcție de „Securitate a Telefonului” și ghidează utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. Astfel, poate monitoriza activitatea utilizatorului pe smartphone, realizând capturi de ecran și filtrând informațiile serviciilor financiare. Troianul poate chiar să se deghizeze în servicii financiare precum Alipay sau WeChat pentru a obține codul de blocare al ecranului la autentificare.

Odată obținute datele, troianul le trimite actorilor malițioși printr-un server centralizat de comandă și control (C2), de unde se coordonează distribuția încărcăturii și exfiltrarea datelor.

Bitdefender a precizat că, în momentul cercetării, depozitul avea aproximativ 29 de zile și acumulase „peste 6.000 de confirmări”. În timpul analizei, depozitul a fost eliminat la sfârșitul lunii decembrie și a reapărut sub un nou depozit, asociat de data aceasta unei aplicații Android numită Premium Club.

După cercetare, Bitdefender a informat Hugging Face despre existența acestui depozit, care a fost eliminat de platformă.

Flash News

Scandal în Germania după ce un imigrant sudanez a împins o fată de 18 ani în fața metroului / „Te iau cu mine”

Iranul susține că programul său nuclear nu poate fi eliminat, în ciuda presiunilor SUA

Sabalenka, învinsă de Rybakina în finala feminină de la Australian Open

În viitor nu vor mai exista azile de bătrâni: Musk spune că roboții săi AI „vor fi incredibili pentru îngrijirea persoanelor în vârstă”

Bătaie între mai mulți nepalezi într-un bar din Capitală. Patru bărbați, plasați sub control judiciar

Guvernul SUA, închis parțial după blocajul din Congres privind finanțarea securității interne

Deconectări în sistemul energetic din Republica Moldova, din cauza problemelor din rețeaua ucraineană