Malware care fură date bancare țintește utilizatorii de dispozitive cu Android

Cercetătorii au avertizat asupra unor noi atacuri cibernetice care utilizează platforma Hugging Face ca depozit pentru a distribui mii de variații de încărcături malițioase cu troieni de acces la distanță (RAT) pentru Android, prin care se fură datele de autentificare pentru servicii financiare, transmite Mediafax.

Hugging Face este o platformă de găzduire online open-source, folosită de obicei pentru a stoca modele de învățare automată și inteligență artificială (IA), fapt ce permite dezvoltatorilor să partajeze sau să antreneze modele prestabilite, seturi de date sau aplicații, scrie El Economista.

Cu toate acestea, această platformă concepută ca spațiu deschis, accesibil oricărui utilizator, este folosită de infractori cibernetici pentru a distribui malware cu scopuri malițioase, prin ocolirea filtrelor care reglementează conținutul ce poate fi încărcat pe Hugging Face, filtrat de obicei prin antivirusul ClamAV.

Acest lucru a fost semnalat de cercetătorii companiei de securitate cibernetică Bitdefender, care au explicat că încărcăturile malițioase fac parte dintr-o campanie de distribuție de RAT pentru dispozitive Android, care combină metode de inginerie socială cu resursele Hugging Face pentru a compromite dispozitivele și, prin utilizarea Serviciilor de Accesibilitate ale Android, pentru a fura datele financiare ale utilizatorilor.

Serviciul Hugging Face a fost folosit abuziv pentru a găzdui și distribui mii de variante APK periculoase, așa cum a detaliat compania de securitate cibernetică într-un comunicat. Modul de operare începe prin folosirea metodelor de inginerie socială, prin care actorii malițioși încearcă să convingă utilizatorii să descarce o aplicație aparent legitimă numită TrustBastion.

Aceștia afișează reclame de tip „scareware”, menite să sperie utilizatorii și să îi păcălească, astfel încât aceștia să creadă că dispozitivele lor sunt infectate sau au defecțiuni grave. În acest context, aplicația TrustBastion se prezintă ca o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing.

Deși aplicația nu conține funcții periculoase, odată instalată, aceasta solicită utilizatorilor să descarce o actualizare obligatorie pentru a continua utilizarea ei, printr-o pagină falsă care imită magazinul de aplicații Google Play. Actualizarea cerută nu descarcă direct încărcătura malițioasă, ci este momentul în care intervine Hugging Face.

Aplicația se conectează la un server (trustbastion.com) asociat TrustBastion, care redirecționează către depozitul de date Hugging Face, unde este găzduit conținutul APK malițios. Astfel, încărcătura care conține troianul se descarcă din infrastructura depozitului și se distribuie prin rețeaua CDN. Pentru a evita detectarea de către sistemele Hugging Face, infractorii generează noi încărcături la aproximativ fiecare 15 minute, prin folosirea unei metode cunoscute sub numele de polimorfism pe server, care permite reutilizarea codului fără a modifica logica principală, astfel că trece neobservată.

După descărcarea pe dispozitivul Android, începe a doua fază a atacului. Troianul exploatează permisiunile Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea încercărilor de dezinstalare. Malware-ul se prezintă ca o funcție de „Securitate a Telefonului” și ghidează utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. Astfel, acesta poate monitoriza activitatea utilizatorului pe smartphone, prin realizarea unor capturi de ecran și filtrarea informațiilor serviciilor financiare.

Troianul poate chiar să se deghizeze în servicii financiare precum Alipay sau WeChat pentru a obține codul de blocare al ecranului la autentificare. Odată obținute datele, troianul le trimite actorilor malițioși printr-un server centralizat de comandă și control (C2), de unde se coordonează distribuția încărcăturii și exfiltrarea datelor.

Bitdefender a precizat că, în momentul cercetării, depozitul avea aproximativ 29 de zile și acumulase „peste 6.000 de confirmări”. În timpul analizei, depozitul a fost eliminat la sfârșitul lunii decembrie și a reapărut sub un nou depozit, asociat de data aceasta unei aplicații Android numite Premium Club. După cercetare, Bitdefender a informat Hugging Face despre existența acestui depozit, care a fost eliminat de platformă.