\nCercet\u0103torii au avertizat asupra unor noi atacuri cibernetice care utilizeaz\u0103 platforma Hugging Face ca depozit pentru a distribui mii de varia\u0163ii de \u00eenc\u0103rc\u0103turi mali\u0163ioase cu troieni de acces la distan\u0163\u0103 (RAT) pentru Android, prin care se fur\u0103 datele de autentificare pentru servicii financiare.<\/p>\n
\nHugging Face este o platform\u0103 de g\u0103zduire online open-source, folosit\u0103 de obicei pentru a stoca modele de \u00eenv\u0103\u0163are automat\u0103 \u015fi inteligen\u0163\u0103 artificial\u0103 (IA), permi\u0163\u00e2nd dezvoltatorilor s\u0103 partajeze sau s\u0103 antreneze modele prestabilite, seturi de date sau aplica\u0163ii, scrie El Economista.<\/p>\n
\nCu toate acestea, aceast\u0103 platform\u0103 conceput\u0103 ca spa\u0163iu deschis, accesibil oric\u0103rui utilizator, este folosit\u0103 de infractori cibernetici pentru a distribui malware cu scopuri mali\u0163ioase, ocolind filtrele care reglementeaz\u0103 con\u0163inutul ce poate fi \u00eenc\u0103rcat pe Hugging Face, filtrat de obicei prin antivirusul ClamAV.<\/p>\n
\nAcest lucru a fost semnalat de cercet\u0103torii companiei de securitate cibernetic\u0103 Bitdefender, care au explicat c\u0103 \u00eenc\u0103rc\u0103turile mali\u0163ioase fac parte dintr-o campanie de distribu\u0163ie de RAT pentru dispozitive Android, combin\u00e2nd metode de inginerie social\u0103 cu resursele Hugging Face pentru a compromite dispozitivele \u015fi, folosind Serviciile de Accesibilitate ale Android, pentru a fura datele financiare ale utilizatorilor.<\/p>\n
\nServiciul Hugging Face a fost folosit abuziv pentru a g\u0103zdui \u015fi distribui mii de variante APK periculoase, a\u015fa cum a detaliat compania de securitate cibernetic\u0103 \u00eentr-un comunicat.<\/p>\n
\nModul de operare \u00eencepe prin folosirea metodelor de inginerie social\u0103, prin care actorii mali\u0163io\u015fi \u00eencearc\u0103 s\u0103 conving\u0103 utilizatorii s\u0103 descarce o aplica\u0163ie aparent legitim\u0103 numit\u0103 TrustBastion. Ace\u015ftia afi\u015feaz\u0103 reclame de tip \u201escareware\u201d, menite s\u0103 sperie utilizatorii \u015fi s\u0103-i p\u0103c\u0103leasc\u0103, f\u0103c\u00e2ndu-i s\u0103 cread\u0103 c\u0103 dispozitivele lor sunt infectate sau au defec\u0163iuni grave.<\/p>\n
\n\u00cen acest context, aplica\u0163ia TrustBastion se prezint\u0103 ca o solu\u0163ie gratuit\u0103 de securitate cibernetic\u0103, capabil\u0103 s\u0103 detecteze fraude, mesaje false sau tentative de phishing. De\u015fi aplica\u0163ia nu con\u0163ine func\u0163ii periculoase, odat\u0103 instalat\u0103, solicit\u0103 utilizatorilor s\u0103 descarce o actualizare obligatorie pentru a continua s\u0103 o foloseasc\u0103, printr-o pagin\u0103 fals\u0103 care imit\u0103 magazinul de aplica\u0163ii Google Play.<\/p>\n
\nActualizarea cerut\u0103 nu descarc\u0103 direct \u00eenc\u0103rc\u0103tura mali\u0163ioas\u0103, ci este momentul \u00een care intervine Hugging Face. Aceasta se conecteaz\u0103 la un server (trustbastion.com) asociat aplica\u0163iei TrustBastion, care redirec\u0163ioneaz\u0103 c\u0103tre depozitul de date Hugging Face, unde este g\u0103zduit con\u0163inutul APK mali\u0163ios.<\/p>\n
\nAstfel, \u00eenc\u0103rc\u0103tura care con\u0163ine troianul se descarc\u0103 din infrastructura depozitului \u015fi se distribuie prin re\u0163eaua CDN. Pentru a evita detectarea de sistemele Hugging Face, infractorii genereaz\u0103 noi \u00eenc\u0103rc\u0103turi la aproximativ fiecare 15 minute, folosind o metod\u0103 cunoscut\u0103 sub numele de polimorfism pe server, care permite reutilizarea codului f\u0103r\u0103 a modifica logica principal\u0103, trec\u00e2nd astfel neobservat\u0103.<\/p>\n
\nDup\u0103 desc\u0103rcarea pe dispozitivul Android, \u00eencepe a doua faz\u0103 a atacului. Troianul exploateaz\u0103 permisiunile Serviciilor de Accesibilitate Android, care permit accesul la capturi de ecran sau blocarea \u00eencerc\u0103rilor de dezinstalare.<\/p>\n
\nMalware-ul se prezint\u0103 ca o func\u0163ie de \u201eSecuritate a Telefonului\u201d \u015fi ghideaz\u0103 utilizatorii prin procesul de activare a Serviciilor de Accesibilitate. Astfel, poate monitoriza activitatea utilizatorului pe smartphone, realiz\u00e2nd capturi de ecran \u015fi filtr\u00e2nd informa\u0163iile serviciilor financiare. Troianul poate chiar s\u0103 se deghizeze \u00een servicii financiare precum Alipay sau WeChat pentru a ob\u0163ine codul de blocare al ecranului la autentificare.<\/p>\n
\nOdat\u0103 ob\u0163inute datele, troianul le trimite actorilor mali\u0163io\u015fi printr-un server centralizat de comand\u0103 \u015fi control (C2), de unde se coordoneaz\u0103 distribu\u0163ia \u00eenc\u0103rc\u0103turii \u015fi exfiltrarea datelor.<\/p>\n
\nBitdefender a precizat c\u0103, \u00een momentul cercet\u0103rii, depozitul avea aproximativ 29 de zile \u015fi acumulase \u201epeste 6.000 de confirm\u0103ri\u201d. \u00cen timpul analizei, depozitul a fost eliminat la sf\u00e2r\u015fitul lunii decembrie \u015fi a reap\u0103rut sub un nou depozit, asociat de data aceasta unei aplica\u0163ii Android numit\u0103 Premium Club.<\/p>\n
\nDup\u0103 cercetare, Bitdefender a informat Hugging Face despre existen\u0163a acestui depozit, care a fost eliminat de platform\u0103.<\/p>\n
\n <\/p>\n","protected":false},"excerpt":{"rendered":"
Cercet\u0103torii au avertizat asupra unor noi atacuri cibernetice care utilizeaz\u0103 platforma Hugging Face ca depozit pentru a distribui mii de varia\u0163ii de \u00eenc\u0103rc\u0103turi mali\u0163ioase cu troieni de acces la distan\u0163\u0103 (RAT) pentru Android, prin care se fur\u0103 datele de autentificare pentru servicii financiare. Hugging Face este o platform\u0103 de g\u0103zduire online open-source, folosit\u0103 de obicei […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[510],"tags":[12670,62557,11605],"class_list":["post-244714","post","type-post","status-publish","format-standard","hentry","category-actualitate","tag-android","tag-date-bancare","tag-virus"],"_links":{"self":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/244714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=244714"}],"version-history":[{"count":0,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/244714\/revisions"}],"wp:attachment":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=244714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=244714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=244714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}