Hugging Face sfruttata per diffondere migliaia di varianti di malware Android

Hugging Face sfruttata per diffondere migliaia di varianti di malware Android

Attenzione: la piattaforma Hugging Face, nota per modelli di intelligenza artificiale, è stata abusata per diffondere malware Android che ruba dati sensibili da servizi finanziari. Per proteggerti subito, evita di installare app da fonti non ufficiali come Google Play e verifica sempre i permessi richiesti dalle applicazioni.

Questa minaccia colpisce utenti Android con un’app trappola chiamata TrustBastion, che si finge uno strumento di sicurezza. L’app attira le vittime tramite annunci allarmistici che avvertono di presunte infezioni sul dispositivo, promettendo di rilevare truffe, SMS fraudolenti, phishing e malware.

Come inizia l’attacco

Subito dopo l’installazione, TrustBastion mostra un falso avviso di aggiornamento che imita l’interfaccia di Google Play. Invece di caricare direttamente il malware, l’app contatta un server collegato a un dominio sospetto, che reindirizza verso un repository su Hugging Face. Qui, il payload malizioso – un file APK – viene scaricato tramite la rete di distribuzione contenuti della piattaforma.

Hugging Face è un hub affidabile per modelli AI, elaborazione del linguaggio naturale e machine learning, ma i cybercriminali ne sfruttano la reputazione per eludere i controlli di sicurezza.

Tecniche di evasione

Per non essere rilevati, gli attaccanti usano il polimorfismo server-side: ogni 15 minuti generano nuove varianti del payload. In sole 29 giorni, un repository ha accumulato oltre 6.000 commit. Quando i ricercatori hanno individuato il repository originale, è stato rimosso, ma l’operazione è rinata con il nome ‘Premium Club’, cambiando solo icone ma mantenendo lo stesso codice malevolo.

Il payload principale è un remote access tool (RAT) che sfrutta aggressivamente i Servizi di Accessibilità di Android. Chiede questi permessi fingendosi essenziale per la sicurezza, permettendo:

  • Sovrapposizioni sullo schermo
  • Cattura di screenshot
  • Simulazione di swipe
  • Blocco della disinstallazione

Il malware monitora l’attività utente, cattura schermate e invia tutto agli operatori. Mostra falsi login per app come Alipay e WeChat, rubando credenziali e codice di sblocco dello schermo. Rimane sempre connesso a un server di comando e controllo (C2) per ricevere dati rubati, comandi, aggiornamenti e contenuti finti che fanno sembrare TrustBastion legittima.

Consigli pratici per utenti Android

  • Scarica solo da Google Play: Evita store di terze parti o installazioni manuali.
  • Controlla i permessi: Rifiuta accessi non necessari, specialmente ai Servizi di Accessibilità.
  • Aggiorna il sistema: Mantieni Android e le app aggiornate per patch di sicurezza.
  • Usa antivirus affidabili: Scannerizza regolarmente il dispositivo.
  • Attiva Google Play Protect: È attivo di default e blocca app pericolose.

Questi passaggi riducono drasticamente il rischio. Ricorda: se un’app promette miracoli contro minacce, potrebbe essere lei la minaccia.

Approfondimento tecnico

Questa sezione esplora i dettagli tecnici per esperti di cybersecurity e sviluppatori Android.

Analisi del dropper TrustBastion

TrustBastion è un dropper che usa scareware per ingannare l’utente. L’interfaccia mimica Google Play con elementi visivi identici, inducendo a confermare un ‘aggiornamento obbligatorio’. Il flusso è:

  1. Contatto al server (es. trustbastion[.]com).
  2. Redirect HTTP a repository Hugging Face.
  3. Download APK via CDN di Hugging Face.

Il polimorfismo genera varianti uniche, cambiando firme e stringhe per evadere antivirus basati su signature.

Funzionalità del RAT

Una volta concessi i Servizi di Accessibilità (android:accessibilityService), il malware accede a:

  • dispatchGesture(): Swipe e tocchi automatizzati.
  • takeScreenshot(): Cattura schermo.
  • performGlobalAction(): Blocco disinstallazione (GLOBAL_ACTION_BACK, HOME).
  • Overlay con WindowManager per phishing.

Esempi di overlay:

  • Finto PIN Alipay.
  • Finto sblocco schermo.

Il RAT usa WebSocket o polling per C2, esfiltrando dati in JSON crittografati. Comandi includono:

  • Aggiornamento config.
  • Esecuzione payload aggiuntivi.
  • Iniezione contenuti fake.

Indicatori di compromissione (IoC)

  • Dominio: trustbastion[.]com, premiumclub[.] variante.
  • Repository Hugging Face: Monitora commit frequenti (>200/giorno).
  • Permessi sospetti: BIND_ACCESSIBILITY_SERVICE.
  • Traffico: Connessioni a IP dinamici, payload ~5-10MB.

Mitigazioni avanzate

Sviluppatori: Integra SafetyNet Attestation o Play Integrity API per verificare integrità device. Usa ProGuard/R8 per offuscare app legittime.

Ricercatori: Scannerizza Hugging Face con script per pickle malevoli o APK in dataset (formato pickle vulnerabile su PyTorch).

Android 14+ limita Accessibilità con prompt utente persistenti. Monitora logcat per:

AccessibilityService bound
WindowManager overlay added

Impatto e tendenze

Campagne simili abusano GitHub, PyPI. Hugging Face, con >1M modelli, è vettore ideale per AI-malware. Ricercatori stimano migliaia varianti attive. Protezione richiede collaborazione piattaforme-AV vendor.

Per analisi forense, usa Frida o ADB per hook su AccessibilityManager. Esempio script Frida:

Java.perform(function() {
  var AccessibilityService = Java.use('android.accessibilityservice.AccessibilityService');
  AccessibilityService.onServiceConnected.overload().implementation = function() {
    console.log('AccessibilityService connected!');
    this.onServiceConnected();
  };
});

Questa minaccia evidenzia rischi di piattaforme open: fiducia vs. abuso. Rimani vigile.

Fonte: https://www.bleepingcomputer.com/news/security/hugging-face-abused-to-spread-thousands-of-android-malware-variants/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto