Tysiące wirusów na Androida. Omijają zabezpieczenia i kradną dane
Przestępcy wykorzystują popularną platformę do tworzenia tysięcy szkodliwych aplikacji na Androida. Dzięki niej omijają też filtry bezpieczeństwa.
Groźne aplikacje na popularnej platformie
Cyberprzestępcy wykorzystują platformę Hugging Face – popularne repozytorium modeli AI – do dystrybucji tysięcy wariantów złośliwych APK na Androida. Te między innymi kradną dane logowania do aplikacji finansowych.
Atak zaczyna się od dropera TrustBastion, podszywającego się pod narzędzie antywirusowe, które wabi reklamami typu scareware o rzekomym zainfekowaniu urządzenia. Po instalacji aplikacja udaje aktualizację z Google Play i pobiera payload z repozytorium Hugging Face, korzystając z jego zaufanej infrastruktury CDN, co pomaga omijać filtry bezpieczeństwa.
Z informacji firmy Bitdefender wynika, że serwer trustbastion[.]com generuje nowe warianty APK co 15 minut, tworząc w ciągu 29 dni ponad 6 tys. mutacji kodu. Nie pomogło nawet usunięciu repozytorium, bo kampania została szybko wznowiona pod nazwą „Premium Club”.
Główny ładunek to trojan zdalnego dostępu (RAT), który nadużywa usług Accessibility Services Androida pod pretekstem ochrony przed zagrożeniami – pozwala na nakładki ekranowe, przechwytywanie zrzutów, blokadę deinstalacji i symulację gestów. Malware monitoruje aktywność, wysyła dane do serwera C2, wyświetla fałszywe loginy bankowe i próbuje ukraść kod blokady ekranu, jednocześnie pobierając z C2 instrukcje i aktualizacje.
Bitdefender poinformował Hugging Face, który usunął zainfekowane datasety, a firma opublikowała wskaźniki kompromitacji dla dropera i sieci. Właśnie dlatego użytkownicy Androida powinni unikać aplikacji spoza Google Play, sprawdzać uprawnienia (zwłaszcza Accessibility) już zainstalowanych programów i nie instalować ręcznie APK z nieznanych źródeł. Zresztą to ostatnie wkrótce będzie znacznie utrudnione.
