cerca nel sito...
Privacy e Cybersecurity

Scopri 6000 Varianti di Malware Android su Hugging Face!

l'articolo appartiene alla categoria:

Privacy e Cybersecurity

pubblicato il:

Attenzione: la piattaforma Hugging Face, nota per i suoi modelli di intelligenza artificiale, è stata abusata per diffondere malware Android capace di rubare dati sensibili riguardanti servizi finanziari. Per proteggersi immediatamente, è fondamentale evitare l’installazione di app provenienti da fonti non ufficiali, come Google Play, e verificare sempre i permessi richiesti dalle applicazioni.

Questa minaccia si manifesta attraverso un’app trappola chiamata TrustBastion, che si propone come uno strumento di sicurezza. Essa attira le vittime tramite annunci allarmistici che avvisano di supposte infezioni sul dispositivo, promettendo di rilevare truffe, SMS fraudolenti, phishing e malware.

Inizio dell’attacco

Subito dopo l’installazione, TrustBastion presenta un falso avviso di aggiornamento che simula l’interfaccia di Google Play. Invece di caricare direttamente il malware, l’app contatta un server associato a un dominio sospetto, reindirizzando verso un repository su Hugging Face. Qui, il payload malizioso – un file APK – viene scaricato utilizzando la rete di distribuzione contenuti della piattaforma.

Hugging Face è considerata un hub affidabile per modelli di intelligenza artificiale, elaborazione del linguaggio naturale e machine learning. Tuttavia, i cybercriminali ne sfruttano la reputazione per eludere i controlli di sicurezza.

Tecniche di evasione

Per non essere rilevati, gli attaccanti utilizzano il polimorfismo server-side: ogni 15 minuti generano nuove varianti del payload. In un lasso di 29 giorni, un repository ha accumulato oltre 6.000 commit. Quando i ricercatori hanno identificato il repository originale, esso è stato rimosso, ma è rinato con il nome ‘Premium Club’, variando unicamente le icone ma mantenendo lo stesso codice malevolo.

Il payload principale è un remote access tool (RAT) che sfrutta in modo aggressivo i Servizi di Accessibilità di Android. Richiedendo tali permessi sotto falso pretesto di sicurezza, il malware consente:

  • Sovrapposizioni sullo schermo
  • Cattura di screenshot
  • Simulazione di swipe
  • Blocco della disinstallazione

Il malware monitora l’attività dell’utente, catturando schermate e inviando tutte le informazioni agli operatori. Mostra falsi login per app come Alipay e WeChat, rubando credenziali e codice di sblocco dello schermo. Rimane costantemente connesso a un server di comando e controllo (C2) per ricevere dati rubati, comandi, aggiornamenti e contenuti falsi che ingannano sull’apparente legittimità di TrustBastion.

Consigli pratici per utenti Android

  • Scarica solo da Google Play: Evitare store di terze parti o installazioni manuali.
  • Controlla i permessi: Rifiutare accessi non necessari, specialmente ai Servizi di Accessibilità.
  • Aggiorna il sistema: Mantenere Android e le app aggiornate per applicare le patch di sicurezza.
  • Utilizza antivirus affidabili: Scannerizzare regolarmente il dispositivo.
  • Attiva Google Play Protect: Questa funzione è attiva di default e blocca app pericolose.

Questi passaggi possono ridurre drasticamente il rischio. È importante ricordare che se un’app presenta promesse miracolose contro minacce, potrebbe essere proprio essa la minaccia.

Approfondimento tecnico

Questa sezione fornisce dettagli tecnici per esperti di cybersecurity e sviluppatori Android.

Analisi del dropper TrustBastion

TrustBastion funge da dropper che utilizza scareware per ingannare l’utente. L’interfaccia simula quella di Google Play con elementi visivi identici, inducendo a confermare un ‘aggiornamento obbligatorio’. Il flusso dell’attacco è il seguente:

  1. Contatto al server (es. trustbastion[.]com).
  2. Redirect HTTP a repository su Hugging Face.
  3. Download APK via CDN di Hugging Face.

Il polimorfismo consente di generare varianti uniche, modificando firme e stringhe per eludere i sistemi antivirus basati su signature.

Funzionalità del RAT

Una volta concessi i Servizi di Accessibilità (android:accessibilityService), il malware acquista accesso a:

  • dispatchGesture(): Swipe e tocchi automatizzati.
  • takeScreenshot(): Cattura dello schermo.
  • performGlobalAction(): Blocco della disinstallazione (GLOBAL_ACTION_BACK, HOME).
  • Overlay tramite WindowManager per attacchi di phishing.

Esempi di overlay includono:

  • Finto PIN Alipay.
  • Finta schermata di sblocco.

Il RAT utilizza WebSocket o polling per il tutore C2, estraendo dati in formato JSON crittografato. I comandi inclusi possono riguardare:

  • Aggiornamento delle configurazioni.
  • Esecuzione di payload aggiuntivi.
  • Iniezione di contenuti falsi.

Indicatori di compromissione (IoC)

  • Dominio: trustbastion[.]com, premiumclub[.] variante.
  • Repository su Hugging Face: Monitoraggio di commit frequenti (>200/giorno).
  • Permessi sospetti: BIND_ACCESSIBILITY_SERVICE.
  • Traffico: Connessioni a IP dinamici, con payload di circa 5-10MB.

Mitigazioni avanzate

Per gli sviluppatori, è consigliabile integrare SafetyNet Attestation o Play Integrity API per verificare l’integrità del dispositivo. Si suggerisce di utilizzare ProGuard/R8 per offuscare le app legittime.

I ricercatori possono scannerizzare Hugging Face utilizzando script per rilevare pickle o APK malevoli nel dataset (formato pickle vulnerabile su PyTorch).

Android 14 e versioni successive limitano le funzionalità di Accessibilità con un prompt utente persistente. È utile monitorare logcat per:

AccessibilityService bound
WindowManager overlay added

Impatto e tendenze

Campagne simili sfruttano piattaforme come GitHub e PyPI. Con oltre un milione di modelli disponibili, Hugging Face si configura come un vettore ideale per AI-malware. Si stima che migliaia di varianti siano attive. La protezione richiede una collaborazione efficace tra le piattaforme e i fornitori di antivirus.

Per analisi forense, si consiglia di utilizzare strumenti come Frida o ADB per monitorare AccessibilityManager. Un esempio di script Frida è il seguente:

Java.perform(function() {
  var AccessibilityService = Java.use('android.accessibilityservice.AccessibilityService');
  AccessibilityService.onServiceConnected.overload().implementation = function() {
    console.log('AccessibilityService connected!');
    this.onServiceConnected();
  };
});

Questa minaccia sottolinea i rischi insiti nelle piattaforme open: la fiducia può facilmente essere sfruttata con intenti dannosi. È cruciale rimanere vigili.

Fonte: https://www.bleepingcomputer.com/news/security/hugging-face-abused-to-spread-thousands-of-android-malware-variants/

Condividi sui social:

Articoli popolari

Altro nella categoria
Related

Risparmia fino al 30%! Offerte esclusive per docenti e ATA: scopri come accedere!

webm -
Il Ministero dell'Istruzione e del Merito ha recentemente introdotto...

Scopri l’Art. 50 dell’AI Act: La Chiave per la Trasparenza nell’Intelligenza Artificiale

webm -
La trasparenza rappresenta un elemento fondamentale all’interno dell’AI Act,...

Gestione Efficace di Modifiche Contrattuali: Ruoli di Direttore Lavori e RUP in Esecuzione

webm -
  Modifiche contrattuali, variazioni e varianti: gestione in fase di...

Guida Pratica: Differenze tra Appalto di Servizio e Incarico Professionale Individuale

webm -
  La distinzione tra appalto di servizio, come previsto dal...

il presente Blog è realizzato dalla redazione di RedigoPA e rappresenta una iniziativa per aggiornare gli operatori del mondo scolastico sui temi propri della missione di RedigoPa ed Educonsulting.

Edu Consulting Srl, via XX Settembre n. 118 00187 ROMA
RedigoPA è una piattaforma di Apicella Sistemi Srl