Ciberdelincuentes explotan la confianza de Hugging Face para camuflar malware
Una nueva ofensiva contra Android utiliza la plataforma Hugging Face como repositorio para miles de variantes de una APK diseñada para sustraer credenciales financieras. Se trata de un ecosistema reconocido que aloja modelos de inteligencia artificial procesamiento de lenguaje natural y aprendizaje automático.
Al ser un entorno de confianza, activa alarmas de seguridad con dificultad, aunque actores maliciosos ya han abusado de su infraestructura para distribuir modelos fraudulentos.
La campaña, detectada por la plataforma Bitdefender, aprovecha esta reputación para propagar el código malicioso. El ataque inicia mediante scareware; anuncios que alertan sobre supuestas infecciones para inducir la instalación de una app llamada TrustBastion.
Esta app se puede camuflar como una herramienta de seguridad contra estafas y phishing y luego de ser instalada, TrustBastion puede desplegar una actualización obligatoria que imita la interfaz de nada menos que de Google Play Store.
En lugar de servir el virus de forma directa, el dropper contacta a un servidor vinculado a trustbastion.com, el cual redirige a un repositorio de datos en Hugging Face donde reside el APK de índole maliciosa. El código final se descarga desde la red de distribución de contenidos o CDN de la plataforma.
Para evadir diversos radares, los ciberdelincuentes emplean polimorfismo en el servidor, generando nuevas variantes cada 15 minutos, aproximadamente.
Al iniciar las investigaciones, el repositorio tenía 30 días activo y superaba los 6 mil commits. Durante el análisis, el repositorio ha sido dado de baja, pero la operación ha resurgido como “Premium Club”, renovando íconos, pero manteniendo el código íntegro.
Del mismo modo, el ejecutable principal es un troyano de acceso remoto que explota de forma agresiva los Servicios de Accesibilidad de Android, alegando razones de seguridad para obtener permisos.
La ciberseguridad moderna debe atravesar por actualizaciones progresivas y nuevas técnicas que puedan contrarrestar las ahora novedosas amenazas. Por ello, TIC Defense ha desplegado en las empresas verdaderos sistemas de protección de activos digitales, los cuales se adaptan a las necesidades de las organizaciones.
Esto permite al malware proyectar superposiciones de pantalla, capturar contenido, ejecutar gestos y bloquear su propia desinstalación. Bitdefender confirma que la amenaza monitoriza la actividad y extrae capturas de pantalla hacia sus operadores. De igual modo, despliega interfaces falsas de servicios tales como Alipay y WeChat para robar credenciales y códigos de desbloqueo.
El código malicioso mantiene conexión permanente con un servidor de comando y control o C2, el cual recibe datos robados y envía instrucciones de ejecución o actualizaciones de configuración para legitimar la apariencia de TrustBastion. Luego del aviso de Bitdefender, Hugging Face ha eliminado los conjuntos de datos infectados; los investigadores publicaron indicadores de compromiso o IoC relativos a la red y los paquetes.
Por último, se recomienda evitar tiendas de terceros e instalaciones manuales. Es de vital importancia revisar que los permisos solicitados por cualquier aplicación sean coherentes con su función. Respecto a estos hallazgos, los portavoces del gigante tecnológico Google han declarado que no hay apps con este malware en Google Play.
Incluso Play Protect, activo por defecto, protege contra versiones conocidas y puede bloquear aplicaciones maliciosas igualmente si provienen de fuentes externas.
