导语:用户安装TrustBastion后,应用会立即弹出一个强制更新提示,其界面设计高度模仿谷歌应用商店,极具迷惑性。
一款新型安卓恶意软件攻击活动正将Hugging Face平台当作仓库,存放数千个安卓应用安装包(APK)载荷变种,专门窃取主流金融及支付平台的用户凭证。
Hugging Face主要用于托管和分发人工智能(AI)、自然语言处理(NLP)及机器学习(ML)模型、数据集与相关应用。该平台向来被视为可信度较高的技术平台,一般不会触发安全告警,但此前也曾有不法分子滥用该平台托管恶意人工智能模型。研究人员发现,攻击者正是利用Hugging Face平台的这一特性,大规模分发安卓恶意软件。
该攻击活动的诱导流程如下:攻击者通过恐吓式广告吸引受害者,谎称其设备已遭病毒感染,诱骗用户安装一款名为TrustBastion的投放器应用。这款恶意应用伪装成安全工具,对外宣称可检测诈骗信息、钓鱼短信、钓鱼攻击及恶意软件等各类威胁。
用户安装TrustBastion后,应用会立即弹出一个强制更新提示,其界面设计高度模仿谷歌应用商店,极具迷惑性。
假的Google Play页面
与直接投放恶意软件的方式不同,这款投放器会先连接与trustbastion[.]com相关联的服务器,该服务器会返回一个跳转链接,指向存储在Hugging Face数据集仓库中的恶意安装包。最终的恶意载荷会从Hugging Face的基础设施中下载,并通过其内容分发网络(CDN)完成投递。
为规避安全检测,威胁者采用了服务端多态技术,每15分钟就生成一个全新的恶意载荷变种。在本次调查期间,该恶意软件仓库已存在约29天,累计提交记录超6000条。
研究人员分析过程中,这个用于分发载荷的仓库曾被平台下架,但该攻击团伙很快以“Premium Club”的新名称卷土重来,更换了应用图标,却保留了全部恶意代码。
攻击活动中的核心恶意载荷尚未被命名,本质是一款远程控制工具。它会以保障安全为由,诱导用户授予安卓系统的辅助功能权限——而这正是该恶意软件实现攻击的关键。
无障碍服务请求
一旦获取该权限,恶意软件便能在用户屏幕上显示悬浮窗口、捕获屏幕内容、模拟滑动操作,甚至阻止用户卸载应用。
这款恶意软件会全程监控用户操作行为并截取屏幕截图,将所有信息窃取后发送给攻击者。同时,它还会伪造金融平台的登录界面,以此骗取用户的账户凭证,甚至会尝试窃取用户的锁屏密码。
恶意软件会持续与命令与控制(C2)服务器保持连接,一方面将窃取到的数据上传至服务器,另一方面接收来自攻击者的命令执行指令、配置更新信息,同时服务器还会推送伪造的应用内内容,让TrustBastion看起来更像一款正规应用。
发现此次攻击活动的研究人员已就该威胁者的恶意仓库问题向Hugging Face平台进行通报,平台随即移除了包含恶意软件的相关数据集。研究人员也公开发布了针对该投放器、相关网络及恶意安装包的入侵指标(IOC)。
安全专家提醒安卓用户,应避免从第三方应用商店下载应用或手动安装应用程序;同时,安装应用时要仔细查看其申请的权限,确认所有权限均为应用实现核心功能所必需。
文章来源自:https://www.bleepingcomputer.com/news/security/hugging-face-abused-to-spread-thousands-of-android-malware-variants/如若转载,请注明原文地址
