Hugging Face злоупотребен за ширење илјадници варијанти на Android малициозен софтвер

Нова кампања со Android малициозен софтвер ја користи платформата Hugging Face како складиште за илјадници варијации на APK-пејлоуд кој собира кориснички податоци (креденцијали) за популарни финансиски и платежни услуги.

Hugging Face е популарна платформа која хостира и дистрибуира модели, збирки на податоци и апликации од областа на вештачката интелигенција (AI), обработка на природен јазик (NLP) и машинско учење (ML).

Се смета за доверлива платформа која ретко активира безбедносни предупредувања, но злонамерни актери и во минатото ја имаат злоупотребувано за хостирање малициозни AI модели. Најновата кампања, откриена од истражувачи од романската компанија за сајбер-безбедност Bitdefender, ја користи платформата за дистрибуција на Android малициозен софтвер.

Нападот започнува така што жртвите се наведуваат да инсталираат „dropper“ апликација наречена TrustBastion, која користи scareware реклами со тврдења дека уредот на целта е заразен. Малициозната апликација е маскирана како безбедносна алатка и тврди дека открива закани како измами, лажни SMS пораки, phishing напади и малициозен софтвер. Веднаш по инсталацијата, TrustBastion прикажува задолжително известување за ажурирање со визуелни елементи кои наликуваат на Google Play.

Наместо директно да испорачува малициозен софтвер, dropper-апликацијата контактира сервер поврзан со trustbastion[.]com, кој враќа пренасочување кон репозиториум на Hugging Face (dataset) каде што се хостира малициозниот APK. Крајниот пејлоуд се презема од инфраструктурата на Hugging Face и се испорачува преку нивната мрежа за дистрибуција на содржина (CDN).

За да избегне детекција, заканувачот користи server-side полиморфизам, кој генерира нови варијанти на пејлоуд на секои 15 минути, наведуваат од Bitdefender.

„Во моментот на истрагата, репозиториумот беше стар приближно 29 дена и имаше акумулирано повеќе од 6.000 commit-и.“

За време на анализата, репозиториумот што го испорачуваше пејлоудот беше отстранет, но операцијата повторно се појави под ново име – ‘Premium Club’, користејќи нови икони, додека го задржа истиот малициозен код.

Главниот пејлоуд, кој нема име, е алатка за далечински пристап (RAT) што агресивно ги злоупотребува Accessibility Services на Android, прикажувајќи го барањето за дозвола како неопходно од безбедносни причини.

Ова му овозможува на малициозниот софтвер да прикажува преклопувачки екрани (screen overlays), да го снима екранот на корисникот, да извршува гестови со лизгање (swipes), да блокира обиди за деинсталација и многу повеќе.

Во овој случај, според Bitdefender, малициозниот софтвер ја следи активноста на корисникот и прави снимки од екранот, при што ги испраќа сите податоци до своите оператори. Исто така прикажува лажни интерфејси за најава кои се претставуваат како финансиски услуги како Alipay и WeChat, со цел кражба на кориснички податоци (креденцијали), а воедно се обидува да го украде и кодот за заклучување на екранот.

Малициозниот софтвер останува постојано поврзан со command-and-control (C2) серверот, кој ги прима украдените податоци, испраќа инструкции за извршување команди, ажурирања на конфигурацијата, а исто така доставува и лажна содржина во самата апликација за да направи TrustBastion да изгледа легитимно.

Bitdefender ја информираше платформата Hugging Face за репозиториумот на заканувачот, по што сервисот ги отстрани збирките на податоци (datasets) што го содржеа малициозниот софтвер. Истражувачите, исто така, објавија сет на индикатори за компромитација (IOCs) за dropper-апликацијата, мрежната комуникација и малициозните пакети.

Корисниците на Android треба да избегнуваат преземање апликации од неофицијални (third-party) продавници за апликации или нивно рачно инсталирање. Дополнително, треба внимателно да ги проверуваат дозволите што ги бара апликацијата и да се осигураат дека сите се неопходни за наменската функционалност на апликацијата.

Извори:

• Bleeping Computer – Hugging Face abused to spread thousands of Android malware variants Bleeping Computer