– Europa Press/Contacto/Avishek Das – Archivo
MADRID, 30 Ene. (CIBERPRO) –
Expertos han alertado sobre una nueva ola de ciberataques que utilizan la plataforma Hugging Face como un repositorio para propagar miles de variantes de cargas maliciosas de troyanos de acceso remoto (RAT) para Android, las cuales están diseñadas para robar credenciales de servicios financieros.
Hugging Face es una plataforma de código abierto alojada en línea que se utiliza comúnmente para almacenar modelos de aprendizaje automático e inteligencia artificial (IA), permitiendo a los desarrolladores compartir o entrenar modelos predefinidos, conjuntos de datos o aplicaciones.
No obstante, este espacio, concebido como un recurso abierto para el acceso de cualquier usuario, está siendo explotado por delincuentes cibernéticos para difundir cargas de ‘malware’ con intenciones maliciosas, eludiendo los filtros que regulan el contenido permitido en Hugging Face, que generalmente se revisa mediante el antivirus ClamAV.
Así lo han revelado investigadores de la firma de ciberseguridad Bitdefender, quienes han especificado que las cargas maliciosas son parte de una campaña de distribución de RAT para dispositivos Android, que combina técnicas de ingeniería social y recursos de Hugging Face para comprometer los dispositivos y, a través de los Servicios de Accesibilidad de Android, robar credenciales de servicios financieros.
INGENIERÍA SOCIAL Y APLICACIÓN MALICIOSA QUE CONECTA CON HUGGING FACE
El servicio de Hugging Face ha sido utilizado de manera abusiva para almacenar y distribuir miles de variantes peligrosas en formato APK, tal como han expuesto la firma de ciberseguridad en un comunicado.
El modus operandi inicia con métodos de ingeniería social, donde los actores maliciosos buscan convencer a los usuarios de que descarguen una aplicación legítima llamada TrustBastion. Para ello, utilizan anuncios de tipo ‘scareware’, que generan temor en los usuarios haciéndoles creer que sus dispositivos están infectados o tienen fallos graves.
En este contexto, la aplicación TrustBastion se presenta como una solución gratuita de ciberseguridad, capaz de detectar estafas, mensajes fraudulentos o intentos de ‘phishing’. Aunque no tiene funcionalidades peligrosas, al instalarse, solicita a los usuarios descargar una actualización obligatoria para seguir usando la aplicación, a través de una página falsa que simula ser la tienda de aplicaciones Google Play.
La actualización solicitada no descarga directamente el contenido malicioso, sino que, como explican los expertos en ciberseguridad, en este instante entra en juego Hugging Face. Esto se debe a que la actualización conecta con un servidor (trustbastion.com) relacionado con la aplicación TrustBastion, que redirige al repositorio de Hugging Face, donde se aloja el contenido APK malicioso.
Por consiguiente, la carga útil que contiene el troyano se descarga desde la infraestructura del repositorio y se distribuye a través de su red CDN. Además, para evitar su detección por sistemas de Hugging Face, los ciberdelincuentes generan nuevas cargas útiles cada 15 minutos.
Esto se realiza usando un método conocido como polimorfismo del lado del servidor, que se basa en un concepto de programación aplicado al ‘backend’ que permite la reutilización de código sin alterar la lógica principal, manteniéndose así oculto.
EXPLOTAN LOS SERVICIOS DE ACCESIBILIDAD DE ANDROID PARA ROBAR INFORMACIÓN
Una vez que se completa la descarga maliciosa en el dispositivo Android, se activa la segunda fase del ataque. En concreto, el troyano se utiliza para explotar los permisos de los Servicios de Accesibilidad de Android, que permiten el acceso a funciones como la captura de pantalla o bloqueos en la desinstalación.
Para ello, el ‘malware’ finge ser una función de ‘Seguridad del Teléfono’ y guía a los usuarios por el proceso de activación de los Servicios de Accesibilidad. De este modo, logra monitorear la actividad del usuario en su ‘smartphone’, tomando capturas de pantalla y filtrando así la información de sus servicios financieros. Incluso, el propio troyano imita servicios financieros como Alipay y WeChat para, al iniciar sesión, acceder al código de bloqueo de pantalla.
Una vez obtenidos los datos, el troyano envía la información robada a los actores maliciosos a través de un servidor de comando y control centralizado (C2), desde donde se gestiona la entrega de carga útil y la exfiltración de datos.
Desde Bitdefender han señalado que, al momento de la investigación, el repositorio contaba con aproximadamente 29 días y había acumulado «más de 6.000 confirmaciones». Sin embargo, durante su análisis, el repositorio fue eliminado a finales de diciembre y resurgió bajo un nuevo repositorio, esta vez asociado a una nueva aplicación para Android llamada Premium Club.
Después de la investigación, Bitdefender notificó a Hugging Face sobre la existencia de este repositorio, que fue eliminado por la plataforma.
