Malware Android su Hugging Face: come i cybercriminali rubano i tuoi dati

Attenzione: non scaricare APK da fonti sconosciute e verifica sempre i permessi richiesti dalle app. Cybercriminali astuti stanno usando la popolare piattaforma Hugging Face per distribuire un malware Android che prende il controllo del tuo smartphone, ruba credenziali e monitora ogni tua azione. La buona notizia? Google Play Protect blocca questo RAT e basta attivare le protezioni base per stare al sicuro.

Questa minaccia si nasconde dietro app false come TrustBastion, che promettono sicurezza ma installano un Trojan remoto (RAT). Milioni di utenti di Hugging Face, piattaforma per progetti AI open source, sono a rischio perché i malviventi caricano migliaia di varianti del malware ogni giorno. Soluzione rapida: usa solo Google Play Store, abilita Play Protect e evita update sospetti.

Come funziona l’attacco in modo semplice

I cybercriminali promuovono app come TrustBastion tramite pubblicità ingannevoli che avvertono di “virus sul tuo telefono”. Una volta installata, l’app mostra una schermata falsa simile a Google Play e chiede un “aggiornamento essenziale”. Cliccando, scarichi il vero malware da Hugging Face. Questo RAT richiede permessi per accessibilità, registrazione schermo e overlay, permettendo di spiare tutto: screenshot, codici di sblocco, login falsi per app finanziarie come Alipay o WeChat.

Hugging Face, usata per modelli di intelligenza artificiale e dataset, non ha filtri sufficienti, permettendo ai criminali di mimetizzare il traffico malevolo tra contenuti legittimi. Hanno generato oltre 6.000 varianti in 29 giorni, cambiando repository quando scoperti. Proteggiti: non concedere permessi accessibilità a app dubbie e scansiona regolarmente il dispositivo.

I dati rubati finiscono su server controllati dai criminali (C2), che inviano comandi remoti. Google conferma: nessun malware sul Play Store, Play Protect lo ferma. Ma se usi APK sideload, sei vulnerabile.

Consigli pratici per utenti Android

• Abilita Play Protect: vai su Play Store > Profilo > Play Protect > Impostazioni e attivalo.
• Scarica solo dal Play Store.
• Rifiuta permessi sospetti, specialmente accessibilità.
• Usa antivirus affidabili come quelli integrati o app di terze parti.
• Aggiorna sempre il sistema Android.

Questi passi semplici bloccano il 99% delle minacce simili. Ora, per chi vuole approfondire…

Approfondimento tecnico

Questa campagna RAT combina ingegneria sociale, polimorfismo server-side e abuso di infrastrutture fidate. L’app dropper (TrustBastion o varianti come Premium Club) si installa manualmente dopo malvertising. Al lancio, simula un update con UI identica a Google Play: dialoghi di sistema Android.

Invece di un APK diretto, contatta un server (es. trustbastion.com) che restituisce una pagina HTML con redirect a un repository Hugging Face. Qui, il payload APK è generato ogni 15 minuti: polimorfismo server-side altera hash crittografici mantenendo il codice malevolo invariato, evadendo detection basata su signature.

Catena di infezione dettagliata

1. Dropper installazione: Pubblicizzato come antivirus gratuito.
2. Fake update: Schermata con logo Google, barra progresso falsa.
3. Download payload: HTML redirect -> Hugging Face repo (es. oltre 6.000 commit in 29 giorni).
4. Permessi RAT: Accessibility Services, screen recording, casting, overlay.
5. Capacità RAT:
   • Monitoraggio real-time attività utente.
   • Screenshot e video cattura.
   • Overlay falsi login (Alipay, WeChat, banking).
   • Intercetta PIN sblocco, biometria.
   • Keep-alive a C2 (es. IP 154.198.48.57:5000) per comandi e exfiltrazione.

Hugging Face scansiona con ClamAV, ma fallisce su payload camuffati. Repository rimossi dopo report, ma nuovi appaiono con nomi/icon diversa.

Evasione e persistenza

• Traffico trusted: Hugging Face dominio alto-reputazione evita flag su low-trust.
• Automazione: Script generano varianti automatiche.
• Persistenza Android: Accessibility bypassa sandbox, overlay nasconde attività.

Bitdefender ha tracciato package name come rgp.lergld.vhrthg. Server C2 gestisce redirect dinamici.

Protezioni avanzate per esperti

• Analisi dinamica: Usa emulatori Android (Genymotion) con Frida per hook AccessibilityManager.
• YARA rules per polimorfismo:

  rule HuggingFace_RAT {
    strings:
      $s1 = "accessibility" nocase
      $s2 = "overlay"
    condition:
      all of them
  }
  

• Monitora commit Hugging Face API per anomalie (alti volumi).
• Network analysis: Wireshark su port 5000, cerca redirect HTML.
• Blocca IP C2 con firewall (AFWall+).

Per sviluppatori: integra ClamAV custom o ML detection su repo. Android 14+ limita permessi, ma RAT evolve.

Questa minaccia evidenzia rischi piattaforme open source. Mantieni vigilance: sideload è il vettore principale. Con Play Protect e no sideload, rischio zero. Resta aggiornato su evoluzioni.

Fonte: https://www.punto-informatico.it/malware-android-distribuito-tramite-hugging-face/