Din cuprinsul articolului
O nouă amenințare cibernetică de amploare lovește utilizatorii de telefoane Android. Specialiștii în securitate IT au descoperit o campanie masivă de distribuire a unor aplicații infectate, capabile să preia controlul asupra dispozitivelor și să fure date bancare sensibile. Atacatorii folosesc o platformă cunoscută la nivel global pentru a răspândi mii de versiuni de malware, într-un mod care ocolește sistemele clasice de protecție.
Potrivit unei analize realizate de specialiștii companiei Bitdefender, atacul combină tehnici avansate de inginerie socială cu exploatarea unor servicii legitime, pentru a evita detectarea și a maximiza impactul.
Cum este folosită platforma Hugging Face pentru distribuirea malware-ului
Hugging Face este o platformă open-source cunoscută pentru găzduirea și partajarea de modele de inteligență artificială, seturi de date și aplicații. Datorită caracterului său deschis, aceasta a devenit o țintă atractivă pentru atacatori, care o folosesc ca depozit temporar pentru fișiere malițioase.
Cercetătorii au descoperit că infractorii cibernetici încarcă pe platformă mii de variante APK periculoase, reușind astfel să ocolească filtrele de securitate, inclusiv scanările antivirus. Distribuția se face prin intermediul rețelei globale de livrare de conținut, ceea ce permite descărcarea rapidă și masivă a fișierelor infectate.
Ingineria socială, cheia infectării telefoanelor Android
Atacul începe cu o campanie de inginerie socială atent pusă la punct. Utilizatorii sunt atrași să descarce o aplicație aparent legitimă, denumită TrustBastion, prin reclame de tip scareware. Aceste mesaje alarmiste sugerează că telefonul este infectat sau are probleme grave de securitate, determinând utilizatorii să acționeze rapid.
Aplicația se prezintă drept o soluție gratuită de protecție cibernetică, capabilă să detecteze fraudele, tentativele de phishing și mesajele false. În realitate, scopul său este să pregătească terenul pentru descărcarea malware-ului.
Actualizarea falsă care declanșează infectarea
Deși aplicația TrustBastion nu conține inițial funcții periculoase, după instalare aceasta solicită o actualizare obligatorie pentru a putea fi utilizată. Cererea este afișată printr-o pagină care imită perfect interfața magazinului Google Play.
În momentul în care utilizatorul acceptă actualizarea, aplicația se conectează la un server controlat de atacatori, trustbastion.com, care redirecționează descărcarea către un depozit găzduit pe Hugging Face. De aici este instalată încărcătura malițioasă sub forma unui APK infectat.
Pentru a evita detectarea, infractorii generează automat noi versiuni ale troianului la intervale de aproximativ 15 minute, folosind tehnici de polimorfism care modifică structura fișierului fără a schimba comportamentul acestuia.
Cum fură troianul datele bancare și preia controlul telefonului
După instalare, începe a doua etapă a atacului. Troianul exploatează Serviciile de Accesibilitate ale Android, obținând permisiuni extinse care îi permit să monitorizeze activitatea utilizatorului, să realizeze capturi de ecran, să intercepteze date introduse pe tastatură și să blocheze încercările de dezinstalare.
Malware-ul se prezintă drept o funcție de securitate a telefonului și îi ghidează pe utilizatori să acorde aceste permisiuni, obținând astfel control aproape complet asupra dispozitivului. Odată activ, acesta poate intercepta informații din aplicațiile bancare, poate fura date de autentificare și chiar se poate deghiza în servicii populare precum Alipay sau WeChat pentru a obține codul de deblocare al ecranului.
Datele colectate sunt transmise către un server centralizat de comandă și control, de unde atacatorii coordonează atât distribuția malware-ului, cât și extragerea informațiilor furate.
Mii de variante malware și mii de victime potențiale
Potrivit Bitdefender, unul dintre depozitele malițioase identificate pe Hugging Face era activ de aproximativ 29 de zile și acumulase peste 6.000 de confirmări. Deși acesta a fost eliminat la finalul lunii decembrie, cercetătorii au observat reapariția rapidă a atacului sub un alt nume, asociat unei aplicații Android denumite Premium Club.
După finalizarea analizei, compania de securitate cibernetică a notificat platforma Hugging Face, iar depozitul respectiv a fost eliminat. Cu toate acestea, experții avertizează că astfel de campanii pot reapărea oricând sub alte forme.
Recomandările specialiștilor pentru utilizatorii Android
Experții în securitate cibernetică recomandă instalarea aplicațiilor exclusiv din Google Play, evitarea reclamelor alarmiste și verificarea atentă a permisiunilor solicitate de aplicații. De asemenea, utilizatorii sunt sfătuiți să mențină sistemul de operare și aplicațiile actualizate și să folosească soluții antivirus performante.
Această campanie demonstrează încă o dată cât de importantă este vigilența digitală, mai ales în contextul în care atacurile informatice devin din ce în ce mai sofisticate și mai greu de detectat, potrivit Capital.
