Europa Press/Contacto/Avishek Das - Arquivo
MADRID 30 jan. (Portaltic/EP) - Pesquisadores alertaram sobre uma nova campanha de ataques cibernéticos que utiliza a plataforma Hugging Face como repositório para distribuir milhares de variações de cargas maliciosas de trojans de acesso remoto (RAT) para Android, roubando dados de credenciais para serviços financeiros.
A Hugging Face é uma plataforma de hospedagem online de código aberto normalmente utilizada para hospedar modelos de aprendizado automático e inteligência artificial (IA), permitindo que desenvolvedores compartilhem ou treinem modelos predeterminados, conjuntos de dados ou aplicativos.
No entanto, essa plataforma, concebida como um espaço aberto ao qual qualquer usuário pode acessar, está sendo usada por cibercriminosos para distribuir cargas de malware com fins maliciosos, contornando os filtros que regulam o conteúdo que pode ser enviado para o Hugging Face, que normalmente é analisado pelo antivírus ClamAV.
Isso foi divulgado por pesquisadores da empresa de cibersegurança Bitdefender, que esclareceram que as cargas maliciosas são uma campanha de distribuição de RAT para dispositivos Android, que combina métodos de engenharia social e recursos do Hugging Face para comprometer os dispositivos e, forçando os Serviços de Acessibilidade do Android, roubar suas credenciais de serviços financeiros.
ENGENHARIA SOCIAL E APLICAÇÃO MALICIOSA QUE SE CONECTA AO HUGGING FACE Especificamente, o serviço Hugging Face foi usado de forma abusiva para hospedar e distribuir milhares de variantes APK perigosas, conforme detalhado pela empresa de cibersegurança em um comunicado.
O modus operandi começa utilizando métodos de engenharia social com os quais os agentes maliciosos tentam convencer os usuários a baixar um aplicativo legítimo chamado TrustBastion. Para isso, eles exibem anúncios do tipo “scareware”, ou seja, projetados para assustar os usuários e enganá-los, fazendo-os acreditar que seus dispositivos estão infectados ou apresentam falhas graves.
Nesse contexto, o aplicativo TrustBastion é apresentado como uma solução gratuita de segurança cibernética, com recursos para detectar fraudes, mensagens fraudulentas ou tentativas de phishing. Embora não contenha nenhuma funcionalidade perigosa, uma vez instalado, ele solicita que os usuários baixem uma atualização obrigatória para continuar usando o aplicativo, por meio de uma página falsa que simula ser a loja de aplicativos Google Play.
A atualização solicitada não baixa diretamente a carga maliciosa, mas, conforme explicaram os especialistas em segurança cibernética, é nesse momento que o Hugging Face entra em ação. Isso ocorre porque a atualização se conecta a um servidor (trustbastion.com) vinculado ao aplicativo TrustBastion, que redireciona para o repositório de dados do Hugging Face, onde está hospedado o conteúdo APK malicioso.
Portanto, a carga útil que contém o trojan é baixada da infraestrutura do repositório e distribuída através de sua rede CDN. Além disso, para evitar que seja detectada pelos sistemas da Hugging Face, os cibercriminosos produzem novas cargas úteis aproximadamente a cada 15 minutos.
Isso é feito usando um método conhecido como polimorfismo do lado do servidor, que se baseia em um conceito de programação aplicado ao backend que permite a reutilização de código sem alterar a lógica principal, passando assim despercebido. EXPLORAM OS SERVIÇOS DE ACESSIBILIDADE DO ANDROID PARA ROUBAR DADOS
Depois que o download malicioso é feito no dispositivo Android, entra-se na segunda fase do ataque. Especificamente, o trojan é usado para explorar as permissões dos Serviços de Acessibilidade do Android, que permitem acessar funções de captura de tela ou bloquear tentativas de desinstalação.
Para isso, o malware se faz passar por uma função de “Segurança do Telefone” e orienta os usuários durante o processo de ativação dos Serviços de Acessibilidade. Dessa forma, ele consegue monitorar a atividade do usuário em seu smartphone, realizando capturas de tela e, com isso, filtrando as informações de seus serviços financeiros. O próprio trojan ainda se faz passar por serviços financeiros como Alipay e WeChat para que, ao iniciar sessão, acesse o código de bloqueio da tela. Uma vez obtidos os dados, o trojan envia as informações roubadas aos agentes maliciosos por meio do servidor de comando e controle centralizado (C2), de onde é coordenada a entrega da carga útil e a exfiltração de dados.
A Bitdefender esclareceu que, no momento da investigação, o repositório já tinha aproximadamente 29 dias e acumulava “mais de 6.000 confirmações”. No entanto, durante a análise, o repositório foi eliminado no final de dezembro e ressurgiu sob um novo repositório, desta vez vinculado a um novo aplicativo para Android chamado Premium Club. Com tudo isso, após a investigação, a Bitdefender informou a Hugging Face sobre a existência desse repositório, que foi eliminado pela plataforma.
Esta notícia foi traduzida por um tradutor automático