Investigadores han advertido sobre una nueva campaña de ciberataques que utilizan la plataforma Hugging Face como repositorio para distribuir miles de variaciones de cargas maliciosas de troyanos de acceso remoto (RAT) para Android, con lo que se roban datos de credenciales para servicios financieros.
Hugging Face es una plataforma de alojamiento 'online' de código abierto utilizada habitualmente para albergar modelos de aprendizaje automático e inteligencia artificial (IA), de manera que permite a desarrolladores compartir o entrenar modelos predeterminados, conjuntos de datos o aplicaciones.
Sin embargo, esta plataforma ideada como espacio abierto al que cualquier usuario puede acceder, está siendo utilizada por ciberdelincuentes para distribuir cargas de 'malware' con fines maliciosos, eludiendo los filtros que regulan el contenido que se puede subir a Hugging Face, que habitualmente se analiza mediante el antivirus ClamAV.
Así lo han dado a conocer investigadores de la compañía de ciberseguridad Bitdefender, quienes han matizado que las cargas maliciosas son una campaña de distribución de RAT para dispositivos Android, que combina métodos de ingeniería social y recursos de Hugging Face para comprometer los dispositivos y, forzando los Servicios de Accesibilidad de Android, robar sus credenciales de servicios financieros.
INGENIERÍA SOCIAL Y APP MALICIOSA QUE CONECTA CON HUGGING FACE
Concretamente, el servicio de Hugging Face ha utilizado de forma abusiva para alojar y distribuir miles de variantes APK peligrosos, como han detallado la firma de ciberseguridad en un comunicado.
El modus operandi comienza utilizando métodos de ingeniería social con los que los actores maliciosos intentan convencer a los usuarios de que se descarguen una aplicación legítima llamada TrustBastion. Para ello, muestran anuncios de tipo 'scareware', es decir, diseñados para asustar a los usuarios y engañarlos haciendo creer que sus dispositivos están infectados o presentan fallos graves.
En este marco, la aplicación TrustBastion se presenta como una solución de ciberseguridad gratuita, con capacidades para detectar estafas, mensajes fraudulentos o intentos de 'phishing'. A pesar de que no contiene ninguna funcionalidad peligrosa, una vez instalada, solicita a los usuarios descargar una actualización obligatoria para continuar utilizando la aplicación, a través de una página falsa que simula ser la tienda de aplicaciones Google Play.
La actualización solicitada no descarga directamente la carga maliciosa, sino que, según han explicado los expertos en ciberseguridad, es en este momento donde entra en juego Hugging Face. Esto se debe a que la actualización conecta con un servidor (trustbastion.com) vinculado a la aplicación TrustBastion, que redirige al repositorio de datos de Hugging Face, donde se aloja el contenido APK malicioso.
Por tanto, la carga útil que contiene el troyano se descarga desde la infraestructura del repositorio y se distribuye a través de su red CDN. Asimismo, para evitar que sea detectada por los sistemas de Hugging Face, los ciberdelincuentes producen nuevas cargas útiles aproximadamente cada 15 minutos.
Esto se lleva a cabo utilizando un método conocido como polimorfismo del lado del servidor, que se basa en un concepto de programación aplicado al 'backend' que permite la reutilización de código sin cambiar la lógica principal, por lo que pasa desapercibido.
EXPLOTAN LOS SERVICIOS DE ACCESIBILIDAD DE ANDROID PARA ROBAR DATOS
Una vez efectuada la descarga maliciosa en el dispositivo Android, se entra en la segunda fase del ataque. Concretamente, el troyano se utiliza para explotar los permisos de los Servicios de Accesibilidad de Android, que posibilitan acceder a funciones de captura de pantalla o bloquear intentos de desinstalación.
Para ello, el 'malware' se hace pasar por una función de 'Seguridad del Teléfono' y guía a los usuarios a través del proceso de activación de los Servicios de Accesibilidad. De esta forma, consigue monitorizar la actividad del usuario en su 'smartphone', realizando capturas de pantalla y, con ello, filtrando la información de sus servicios financieros. Incluso, el propio troyano suplanta servicios financieros como Alipay y WeChat para que, al iniciar sesión, acceda al código de bloqueo de pantalla.
Una vez se consiguen los datos, el troyano envía la información robada a los actores maliciosos mediante el servidor de comando y control centralizado (C2), desde donde se coordina la entrega de carga útil y la exfiltración de datos.
Desde Bitdefender han matizado que, en el momento de la investigación, el repositorio ya contaba con aproximadamente 29 días y había acumulado "más de 6.000 confirmaciones". Sin embargo, durante su análisis, el repositorio se eliminó a finales de diciembre y resurgió bajo un nuevo repositorio, esta vez vinculado a una nueva aplicación para Android con nombre de Premium Club.
Con todo ello, tras la investigación, Bitdefender informó a Hugging Face sobre la existencia de este repositorio, que fue eliminado por la plataforma.
