Hugging Face abused to spread thousands of Android malware variants

Hugging Face détourné pour diffuser des milliers de variantes de logiciels malveillants Android

Une nouvelle campagne de logiciels malveillants Android exploite la plateforme Hugging Face pour distribuer des milliers de variantes d’une charge utile APK capable de collecter des informations d’identification pour des services financiers et de paiement populaires.

Hugging Face, une plateforme réputée pour héberger des modèles d’IA et de ML, est utilisée comme dépôt en raison de sa fiabilité apparente, évitant ainsi les alertes de sécurité habituelles. Les acteurs malveillants ont déjà abusé de cette plateforme pour héberger des modèles d’IA malveillants.

L’attaque débute par la manipulation des victimes pour qu’elles installent une application “dropper” nommée TrustBastion. Celle-ci utilise des publicités de type “scareware”, prétendant que l’appareil de la cible est infecté, tout en se présentant comme un outil de sécurité. Après l’installation, TrustBastion affiche une alerte de mise à jour obligatoire qui imite l’interface de Google Play.

Plutôt que de servir directement le logiciel malveillant, le dropper contacte un serveur associé à trustbastion[.]com. Ce serveur redirige ensuite vers un dépôt Hugging Face contenant la charge utile malveillante au format APK. Le logiciel malveillant final est téléchargé via l’infrastructure et le réseau de diffusion de contenu (CDN) de Hugging Face.

Pour échapper à la détection, l’attaquant utilise un polymorphisme côté serveur, générant de nouvelles variantes de la charge utile toutes les 15 minutes. À un moment donné, le dépôt contenait plus de 6 000 modifications. Bien que le dépôt ait été retiré, l’opération a repris sous le nom de “Premium Club”, utilisant de nouvelles icônes mais le même code malveillant.

La charge utile principale, un outil d’accès à distance (RAT), exploite agressivement les Services d’accessibilité d’Android, demandant des autorisations sous prétexte de sécurité. Cela permet au logiciel malveillant de superposer des écrans, de capturer des captures d’écran, d’effectuer des gestes (swipes), de bloquer les tentatives de désinstallation, et plus encore. Il surveille l’activité de l’utilisateur, exfiltre les données vers les opérateurs, affiche de fausses interfaces de connexion pour des services financiers tels qu’Alipay et WeChat afin de voler des identifiants, et tente également de voler le code de déverrouillage de l’écran. Le logiciel malveillant maintient une connexion constante avec un serveur de commande et de contrôle (C2) pour l’exfiltration des données, l’exécution de commandes, les mises à jour de configuration et la diffusion de contenu in-app pour maintenir la crédibilité de TrustBastion.

Hugging Face a été informé et a retiré le dépôt malveillant.

Points clés :

• Utilisation de Hugging Face comme dépôt pour des milliers de variantes de logiciels malveillants Android.
• Logiciel malveillant initial “dropper” (TrustBastion) se faisant passer pour un outil de sécurité.
• Exploitation des Services d’accessibilité Android pour des fonctionnalités malveillantes.
• Vol d’informations d’identification financières et de codes de déverrouillage.
• Polymorphisme côté serveur pour échapper à la détection.
• Reprise de l’opération sous un nouveau nom (“Premium Club”) après le retrait du dépôt initial.

Vulnérabilités exploitées :

• L’abus de la confiance accordée à la plateforme Hugging Face.
• L’exploitation des Services d’accessibilité d’Android, conçus pour aider les utilisateurs handicapés, mais qui accordent des permissions étendues.

Recommandations :

• Éviter de télécharger des applications à partir de magasins d’applications tiers ou de les installer manuellement.
• Examiner attentivement les autorisations demandées par une application et s’assurer qu’elles sont nécessaires à son fonctionnement.
• Être vigilant face aux publicités de type “scareware” et aux demandes de mise à jour qui imitent des interfaces légitimes.

Source