انتشار بدافزارهای اندرویدی با بهره‌برداری از Hugging Face

یک کمپین بدافزار اندرویدی جدید از پلتفرم Hugging Face به عنوان مخزنی برای هزاران نوع از یک فایل APK استفاده می‌کند که اطلاعات احراز هویت را برای سرویس‌های مالی و پرداخت محبوب جمع‌آوری می‌کند.

به گزارش افتانا، کمپینی توسط محققان شرکت امنیت سایبری رومانیایی Bitdefender کشف شده است که طی آن از پلتفرم Hugging Face برای توزیع بدافزار اندرویدی بهره‌برداری می‌شود. این حمله با فریب قربانیان برای نصب یک برنامه‌ dropper به نام TrustBastion آغاز می‌شود که از تبلیغات به سبک scareware استفاده می‌کند و ادعا می‌کند که دستگاه هدف آلوده است. این برنامه مخرب در قالب یک ابزار امنیتی ظاهر می‌شود و ادعا می‌کند که تهدیداتی مانند کلاهبرداری، پیامک‌های جعلی، تلاش‌های فیشینگ و بدافزار را شناسایی می‌کند. TrustBastion بلافاصله پس از نصب، یک هشدار به‌روزرسانی اجباری با عناصر بصری که از گوگل پلی تقلید می‌کنند، نشان می‌دهد.

Hugging Face یک پلتفرم محبوب است که میزبان و توزیع‌کننده‌ مدل‌ها، مجموعه داده‌ها و برنامه‌های هوش مصنوعی (AI)، پردازش زبان طبیعی (NLP) و یادگیری ماشین (ML) است. پیش از این هم این پلتفرم قابل اعتماد برای میزبانی مدل‌های هوش مصنوعی مخرب مورد سوءاستفاده قرار گرفته بود.

به جای ارائه مستقیم بدافزار، این برنامه با سروری مرتبط با trustbastion[.]com تماس می‌گیرد که یک تغییر مسیر به مخزن مجموعه داده‌های Hugging Face که میزبان APK مخرب است، برمی‌گرداند. آخرین محموله از زیرساخت Hugging Face دانلود شده و از طریق شبکه توزیع محتوای آن (CDN) تحویل داده می‌شود.

بیت‌دیفندر می‌گوید که این بدافزار فعالیت کاربر را رصد می‌کند و از تصاویر اسکرین‌شات می‌گیرد و همه چیز را برای اپراتورهای خود استخراج می‌کند. این بدافزار همچنین رابط‌های ورود جعلی را نمایش می‌دهد که سرویس‌های مالی مانند Alipay و WeChat را جعل می‌کنند تا اعتبارنامه‌ها را سرقت کنند و همچنین سعی در دزدیدن کد قفل صفحه دارند. این بدافزار همیشه به سرور فرمان و کنترل (C2) متصل است، که داده‌های دزدیده شده را دریافت می‌کند، دستورالعمل‌های اجرای فرمان، به‌روزرسانی‌های پیکربندی را ارسال می‌کند و همچنین محتوای جعلی درون برنامه‌ای را برای مشروع جلوه دادن TrustBastion ارسال می‌کند.

پس از اطلاع‌رسانی بیت‌دیفندر به Hugging Face در مورد مخزن عامل تهدید، آنها مجموعه داده‌های حاوی بدافزار را حذف کردند. محققان همچنین مجموعه‌ای از شاخص‌های خطر برای dropper، شبکه و بسته‌های مخرب را منتشر کردند. همچنین کارشناسان به کاربران اندروید هشدار داد که از دانلود برنامه‌ها از فروشگاه‌های برنامه‌های شخص ثالث یا نصب دستی آنها خودداری کنند. آنها همچنین باید مجوزها و دسترسی‌های درخواستی برنام‌ها را هنگام نصب بررسی کنند و اطمینان یابند که همه آنها برای عملکرد مورد نظر برنامه ضروری هستند.