Hugging Face misbruikt voor verspreiden Android-malware

In dit artikel:

Bitdefender-onderzoekers ontdekten een grootschalige Android-campagne waarbij aanvallers een remote access trojan (RAT) verspreiden via de infrastructuur van Hugging Face. De operatie combineert social engineering met het misbruik van een vertrouwd cloudplatform: slachtoffers worden gelokt naar een schijnbaar gratis beveiligingsapp met de naam TrustBastion, die in werkelijkheid alleen dient als dropper voor een tweede, kwaadaardige APK die via Hugging Face’s repositories en CDN wordt gedownload.

Na installatie toont de nep-app een gefingeerd update-scherm dat sterk op Google Play lijkt; bij goedkeuring volgt een verwijzing naar een dataset op Hugging Face waar de schadelijke payload vandaan komt. De aanvallers gebruikten server-side polymorfisme om elke ongeveer vijftien minuten nieuwe varianten te genereren — in minder dan een maand ontstonden zo meer dan 6.000 verschillende APK-bestanden — waardoor detectie op basis van hashes werd omzeild.

De tweede fase van de malware doet zich voor als systeem- of beveiligingscomponent en probeert gebruikers te overtuigen Android Accessibility Services, overlay- en schermopnamerechten te activeren. Met die bevoegdheden krijgt de RAT bijna volledige controle: activiteiten worden vastgelegd en naar command-and-controlservers gestuurd, valse inlogschermen voor betaalapps (zoals Alipay en WeChat) worden getoond om inloggegevens en pincodes te stelen, en lockscreen-informatie kan worden bemachtigd. De C2-infrastructuur blijft continu opdrachten sturen en aanvullende content laden om de app legitiem te laten lijken.

Nadat Bitdefender Hugging Face informeerde, werden de betrokken datasets verwijderd. De campagne dook later opnieuw op onder de naam Premium Club met andere iconen maar grotendeels identieke code. Het voorval illustreert hoe betrouwbare ontwikkelplatformen worden misbruikt en onderstreept het belang van gedragsanalyse en voorzichtigheid bij het toekennen van hoogprivilege toestemmingen. Aanbevelingen zijn onder meer: geen Accessibility-rechten geven aan onbekende apps, alleen installeren uit vertrouwde bronnen en alert zijn op nep-update-pop-ups.