Une fausse application de sécurité appelée TrustBastion est utilisée pour supprimer les logiciels malveillants d’accès à distance hébergés sur Hugging Face, les attaquants générant des milliers de variantes de packages Android pour échapper à la détection, préviennent les chercheurs de Bitdefender.
Une campagne de malware Android aurait abusé de l’infrastructure d’hébergement publique de Hugging Face pour distribuer un cheval de Troie d’accès à distance (RAT). L’opération repose sur l’ingénierie sociale, la livraison échelonnée des charges utiles et l’abus des autorisations Android pour assurer la persistance sur les appareils infectés.
Selon les conclusions de Bitdefender Labs, la campagne commence avec une application Android apparemment légitime qui fait office de compte-gouttes. Les utilisateurs sont confrontés à l’attrait via des publicités ou des invites contextuelles avertissant de fausses infections. Une fois installée, l’application récupère une charge utile de deuxième étape hébergée sur Hugging Face, permettant aux attaquants de mélanger le trafic malveillant avec l’activité légitime des développeurs et d’éviter une détection immédiate.
Les chercheurs ont signalé la campagne, non seulement pour son utilisation d’une plate-forme de développement d’IA fiable, mais également pour son échelle et son automatisation qui incluent des milliers de packages Android uniques, avec de nouvelles variantes générées fréquemment pour échapper aux défenses basées sur les signatures.
Déploiement de leurres et de compte-gouttes de scarewares
L’infection commence par inciter les utilisateurs d’Android à installer l’application de sécurité malveillante « TrustBastion ». L’application sert de compte-gouttes, un code qui semble inoffensif jusqu’à ce qu’il déclenche la livraison d’une charge utile plus dangereuse.
« Dans le scénario le plus probable, un utilisateur rencontre une publicité ou une invite similaire affirmant que le téléphone est infecté et invitant à l’installation d’une plate-forme de sécurité, souvent présentée comme gratuite et dotée de fonctionnalités » utiles « », ont déclaré les chercheurs dans un article de blog. « Lorsque son site Web était en ligne (trustbastion(.)com), il promettait de détecter les escroqueries et les SMS frauduleux, le phishing, les logiciels malveillants et bien plus encore. »
Une fois lancée, l’application affiche immédiatement une invite ressemblant à une notification de mise à jour du système Android ou de Google Play, l’interface à laquelle de nombreux utilisateurs sont conditionnés. L’acceptation de la « mise à jour » lance une requête réseau vers un point de terminaison chiffré sur l’infrastructure de l’attaquant, qui à son tour redirige la victime vers un ensemble de données Hugging Face hébergeant un APK malveillant.
Abus via l’hébergement intelligent
Hugging Face est une plate-forme incontournable pour les développeurs hébergeant des modèles, des ensembles de données et des outils d’apprentissage automatique. Selon Bitdefender, la ressource est désormais exploitée pour masquer les téléchargements malveillants au milieu d’activités légitimes. Bien que la plate-forme utilise l’analyse ClamAV lors des téléchargements, ces contrôles ne parviennent actuellement pas à filtrer les référentiels de logiciels malveillants intelligemment déguisés, ont noté les chercheurs.
« L’analyse du référentiel Hugging Face a révélé un volume élevé de commits sur une courte période de temps », ont déclaré les chercheurs. « De nouvelles charges utiles étaient générées environ toutes les 15 minutes. Au moment de l’enquête, le référentiel datait d’environ 29 jours et avait accumulé plus de 6 000 commits. »
Le référentiel a finalement été mis hors ligne, mais l’opération a refait surface ailleurs avec des modifications cosmétiques mineures, tandis que le code sous-jacent est resté inchangé.
Installation, autorisations et RAT persistant
Une fois la charge utile de deuxième étape installée, l’application se présente comme un composant système pour une fonctionnalité « Sécurité du téléphone » et guide l’utilisateur dans l’activation des autorisations Android hautement sensibles.
Parmi les autorisations demandées figurent les services d’accessibilité, l’enregistrement d’écran, la diffusion d’écran et les droits d’affichage en superposition. Ensemble, ces éléments confèrent au malware une visibilité étendue sur les interactions des utilisateurs et la possibilité de capturer le contenu à l’écran dans toutes les applications.
Les chercheurs ont déclaré que ces capacités peuvent être utilisées pour surveiller et enregistrer l’activité des utilisateurs en temps réel, afficher de fausses interfaces d’authentification imitant les plateformes financières populaires (comme Alipay et WeChat) pour récolter des informations d’identification, capturer des modèles d’écran de verrouillage et des entrées biométriques, et exfiltrer les données récoltées vers un serveur de commande et de contrôle (C2) contrôlé par un acteur.
