Atacatorii au folosit Hugging Face pentru a răspândi o amenințare informatică

Cercetătorii în securitate de la Bitdefender au identificat o nouă campanie de malware pentru Android care a folosit infrastructura Hugging Face pentru a găzdui fișierele periculoase.

Atacatorii caută constant resurse online de încredere pe care le pot folosi pentru a-și găzdui fișierele. Aceste domenii nu generează, de obicei, trafic suspect, așa că infractorii știu că le pot folosi pentru a lansa atacuri mai greu de interceptat.

Hugging Face este o platformă open-source folosită de utilizatori și cercetători din întreaga lume pentru a găzdui modele de machine learning, seturi de date și alte instrumente necesare. Platforma este utilizată în principal pentru dezvoltarea și implementarea aplicațiilor bazate pe LLM (large language models) și a altor aplicații AI.

Deși platforma a mai fost folosită în trecut pentru a distribui modele de limbaj periculoase, principalul său avantaj în acest caz este că permite găzduirea mai multor tipuri de fișiere, nu doar a celor necesare pentru dezvoltarea soluțiilor AI.

Instalarea APK-urilor din surse externe rămâne o problemă

În această campanie, atacatorii au găzduit fișierele de tip APK direct pe Hugging Face, într-un set de date configurat ca fiind public și accesibil oricui.

Victimele potențiale au văzut, cel mai probabil, o reclamă online care susținea că dispozitivul lor este infectat și au fost îndemnate să descarce o aplicație de securitate numită TrustBastion, care promitea să rezolve toate problemele fără nici o cheltuială.

Din păcate pentru victime, aplicația falsă de securitate este, de fapt, un dropper pentru un RAT (troian de acces la distanță) și nu oferă nicio funcționalitate reală.

Odată ce utilizatorul instalează manual aplicația, dropperul afișează imediat un mesaj care anunță că este necesară o actualizare pentru a continua utilizarea aplicației.

Victima vede o serie de elemente vizuale concepute să imite ferestrele de actualizare Google Play și ale sistemului Android. Dacă acceptă instalarea și urmează instrucțiunile, va ajunge să instaleze o aplicație capabilă să monitorizeze activitatea utilizatorului și să captureze conținutul ecranului. De asemenea, aceasta poate colecta date sensibile, precum parola ecranului de blocare.

Hugging Face este, de asemenea, o victimă

Funcționalitatea RAT a malware-ului nu este deosebit de surprinzătoare — ceea ce face această campanie cu atât mai interesantă este utilizarea infrastructurii Hugging Face. Depozitele publice ale serviciului au fost folosite pentru a găzdui APK-ul livrat ulterior victimelor.

Hugging Face a șters rapid depozitele respective după ce a fost notificată.

Malware-ul Android nu provine întotdeauna de pe site-uri dubioase. Atacatorii abuzează frecvent de platforme de încredere pentru a distribui aplicații malițioase. Bitdefender Mobile Security pentru Android te protejează prin detectarea malware-ului în timp real, blochează APK-urile periculoase înainte de instalare și identifică spyware-ul și comportamentul de tip troian pe Android, chiar și atunci când amenințările sunt găzduite pe servicii de încredere.

Poți consulta analiza noastră detaliată a acestei amenințări pe Bitdefender Labs.

FAQ – Hugging Face și amenințarea informatică pentru Android

Ce este Hugging Face?
Hugging Face este o platformă open-source folosită pentru găzduirea modelelor AI, a seturilor de date și a instrumentelor de machine learning.

De ce au folosit atacatorii Hugging Face?
Fiind un domeniu de încredere, fișierele găzduite aici au șanse mai mici să declanșeze alerte de securitate.

A fost Hugging Face compromisă?
Nu. Atacatorii au abuzat de depozite publice legitime.

Ce tip de malware a fost livrat?
Un dropper Android care instalează un troian de acces la distanță (RAT).

Cum au fost infectate victimele?
Utilizatorii au fost păcăliți să instaleze din surse externe o aplicație falsă de securitate numită TrustBastion.

De ce este periculoasă instalarea din surse externe (sideloading)?
Ocolește verificările de securitate ale Google Play și expune utilizatorii la aplicații neverificate.

Ce face RAT-ul?
Monitorizează activitatea utilizatorului, capturează ecranul și fură date sensibile.

Malware-ul a imitat actualizări Android?
Da. A folosit ferestre false de actualizare Google Play și ale sistemului.

Cum a reacționat Hugging Face?
Depozitele malițioase au fost eliminate la scurt timp după notificare.