Hugging Face este o platformă de hosting online open-source, folosită frecvent pentru stocarea modelelor de învățare automată și inteligență artificială (IA), facilitând dezvoltatorilor schimbul sau antrenamentul modelelor predefinite, seturilor de date și aplicațiilor, conform El Economista.
Această platformă, concepută ca un spațiu deschis și accesibil oricărui utilizator, este exploatată de infractori cibernetici pentru distribuirea de malware cu intenții malițioase, depășind filtrele care reglementează conținutul încărcat, de obicei filtrat cu ajutorul antivirusului ClamAV.
Aceasta a fost semnalată de cercetătorii de la Bitdefender, care au explicat că fișierele malițioase fac parte dintr-un val de distribuție de RAT-uri pentru dispozitive Android, utilizând tehnici de inginerie socială și resursele Hugging Face pentru a compromite dispozitivele și, prin Serviciile de Accesibilitate ale Android, pentru furtul datelor financiare ale utilizatorilor.
Atacuri prin inginerie socială și aplicații malițioase conectate la Hugging Face
Hugging Face a fost utilizată abuziv pentru găzduirea și distribuirea a mii de variante APK periculoase, conform comunicatului companiei de securitate cibernetică.
Metoda folosită începe cu tehnici de inginerie socială, prin care atacatorii încearcă să determine utilizatorii să descarce o aplicație aparent legitimă, denumită TrustBastion. Aceștia afișează reclame de tip „scareware”, menite să inducă teamă și să păcălească utilizatorii, convingându-i că dispozitivele sunt infectate sau au probleme serioase.
În acest context, aplicația TrustBastion se recomandă ca o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing. Deși, în sine, nu conține componente periculoase, odată instalată, solicită actualizarea obligatorie printr-o pagină falsă, ce imită magazinul Google Play.
Această actualizare nu descarcă direct malware-ul, ci intră în joc Hugging Face, care se conectează la un server (trustbastion.com) asociat aplicației, și redirecționează către un depozit unde este găzduit conținutul APK malițios.
Astfel, fișierul infectat cu troian se descarcă din server și se distribuie prin rețele CDN. Pentru a evita detectarea, infractorii generează frecvent noi versiuni, aproximativ la fiecare 15 minute, utilizând o tehnică numită polimorfism pe server, ce permite reutilizarea codului fără modificări majore, trecând nevăzut.
Utilizarea serviciilor de accesibilitate Android pentru furt de informații
După instalare, atacul continuă prin exploatarea permisiunilor Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea încercărilor de dezinstalare.
Malware-ul se maschează ca o funcție denumită „Securitatea Telefonului” și ghidează utilizatorii prin activarea Serviciilor de Accesibilitate, monitorizând activitatea utilizatorului, realizând capturi de ecran și filtrând informațiile financiare. Troianul poate chiar să se deghizeze în aplicații precum Alipay sau WeChat pentru a obține codul de blocare al ecranului.
După colectarea datelor, malware-ul le transmite către un server centralizat de comandă și control (C2), pentru coordonarea distribuirii și exfiltrării informațiilor.
Bitdefender a precizat că, la momentul cercetării, depozitul avea o durată de aproximativ 29 de zile și înregistrase peste 6.000 de confirmări. În urma analizei, depozitul a fost eliminat și înlocuit cu un altul, asociat unei aplicații Android numită Premium Club.
După verificări, Bitdefender a notificat Hugging Face cu privire la existența acestui depozit, care a fost apoi eliminat de pe platformă.
