Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload em APK que rouba credenciais de serviços financeiros e de pagamento populares.
O Hugging Face é uma plataforma reconhecida que hospeda e distribui modelos, datasets e aplicações de inteligência artificial (AI), processamento de linguagem natural (NLP) e machine learning (ML).
Por ser um ambiente confiável e amplamente utilizado, raramente levanta suspeitas de segurança.
No entanto, criminosos já exploraram a plataforma anteriormente para hospedar modelos de AI maliciosos.
A campanha recente, descoberta por pesquisadores da empresa romena de cibersegurança Bitdefender, utiliza o Hugging Face para distribuir malware direcionado a dispositivos Android.
O ataque começa com a vítima sendo induzida a instalar um aplicativo dropper chamado TrustBastion.
Ele usa anúncios do tipo scareware, que afirmam que o dispositivo do usuário está infectado.
O app malicioso se apresenta como uma ferramenta de segurança, prometendo detectar ameaças como golpes, SMS fraudulentos, tentativas de phishing e outros malwares.
Logo após a instalação, o TrustBastion exibe um alerta obrigatório para atualizar o aplicativo, com elementos visuais que simulam a interface do Google Play, conferindo maior credibilidade à fraude.
Em vez de entregar o malware diretamente, o dropper contata um servidor associado ao domínio trustbastion[.]com, que responde com um redirecionamento para um repositório de datasets no Hugging Face, onde o APK malicioso está hospedado.
O payload final é baixado a partir da infraestrutura da Hugging Face e entregue por meio da sua rede de distribuição de conteúdo (CDN).
Para evitar detecção, o atacante emprega polimorfismo no lado do servidor, gerando novas variantes do payload a cada 15 minutos, segundo a Bitdefender.
No momento da investigação, o repositório tinha cerca de 29 dias de existência e acumulava mais de 6.000 commits.
Durante a análise, o repositório que servia o payload foi removido, mas a operação ressurgiu sob o nome ‘Premium Club’, com novos ícones, mantendo o mesmo código malicioso.
O payload principal, que não recebeu um nome específico, funciona como um RAT (remote access tool) que explora de forma agressiva os Serviços de Acessibilidade do Android, apresentando a permissão como necessária por motivos de segurança.
Com isso, o malware pode exibir sobreposições de tela, capturar a tela do usuário, realizar gestos como swipes, bloquear tentativas de desinstalação e executar outras ações maliciosas.
No caso desta campanha, a Bitdefender informa que o malware monitora a atividade do usuário e captura screenshots, enviando todas as informações para seus operadores.
Também exibe interfaces falsas de login de serviços financeiros, como Alipay e WeChat, para roubar credenciais, além de tentar obter o código da tela de bloqueio do dispositivo.
O malware mantém conexão constante com o servidor de comando e controle (C2), que recebe os dados roubados, envia instruções de execução, atualizações de configuração e até mesmo conteúdo falso dentro do app para fazer o TrustBastion parecer legítimo.
A Bitdefender notificou o Hugging Face sobre a presença do repositório malicioso, que foi removido.
Os pesquisadores também divulgaram uma lista de indicadores de comprometimento (IoCs) relacionados ao dropper, à rede e aos pacotes maliciosos.
Para se proteger, usuários Android devem evitar baixar apps de lojas não oficiais ou instalá-los manualmente sem a devida cautela.
É fundamental revisar as permissões solicitadas por cada app e garantir que elas sejam compatíveis com sua função principal.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...