黑客團伙濫用Hugging Face平臺傳播數(shù)千款安卓惡意軟件變種

一款新型安卓惡意軟件攻擊活動正將Hugging Face平臺當(dāng)作倉庫，存放數(shù)千個安卓應(yīng)用安裝包（APK）載荷變種，專門竊取主流金融及支付平臺的用戶憑證。

Hugging Face主要用于托管和分發(fā)人工智能（AI）、自然語言處理（NLP）及機器學(xué)習(xí)（ML）模型、數(shù)據(jù)集與相關(guān)應(yīng)用。該平臺向來被視為可信度較高的技術(shù)平臺，一般不會觸發(fā)安全告警，但此前也曾有不法分子濫用該平臺托管惡意人工智能模型。研究人員發(fā)現(xiàn)，攻擊者正是利用Hugging Face平臺的這一特性，大規(guī)模分發(fā)安卓惡意軟件。

該攻擊活動的誘導(dǎo)流程如下：攻擊者通過恐嚇式廣告吸引受害者，謊稱其設(shè)備已遭病毒感染，誘騙用戶安裝一款名為TrustBastion的投放器應(yīng)用。這款惡意應(yīng)用偽裝成安全工具，對外宣稱可檢測詐騙信息、釣魚短信、釣魚攻擊及惡意軟件等各類威脅。

用戶安裝TrustBastion后，應(yīng)用會立即彈出一個強制更新提示，其界面設(shè)計高度模仿谷歌應(yīng)用商店，極具迷惑性。

假的Google Play頁面

與直接投放惡意軟件的方式不同，這款投放器會先連接與trustbastion[.]com相關(guān)聯(lián)的服務(wù)器，該服務(wù)器會返回一個跳轉(zhuǎn)鏈接，指向存儲在Hugging Face數(shù)據(jù)集倉庫中的惡意安裝包。最終的惡意載荷會從Hugging Face的基礎(chǔ)設(shè)施中下載，并通過其內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）完成投遞。

為規(guī)避安全檢測，威脅者采用了服務(wù)端多態(tài)技術(shù)，每15分鐘就生成一個全新的惡意載荷變種。在本次調(diào)查期間，該惡意軟件倉庫已存在約29天，累計提交記錄超6000條。

研究人員分析過程中，這個用于分發(fā)載荷的倉庫曾被平臺下架，但該攻擊團伙很快以“Premium Club”的新名稱卷土重來，更換了應(yīng)用圖標，卻保留了全部惡意代碼。

攻擊活動中的核心惡意載荷尚未被命名，本質(zhì)是一款遠程控制工具。它會以保障安全為由，誘導(dǎo)用戶授予安卓系統(tǒng)的輔助功能權(quán)限——而這正是該惡意軟件實現(xiàn)攻擊的關(guān)鍵。

無障礙服務(wù)請求

一旦獲取該權(quán)限，惡意軟件便能在用戶屏幕上顯示懸浮窗口、捕獲屏幕內(nèi)容、模擬滑動操作，甚至阻止用戶卸載應(yīng)用。

這款惡意軟件會全程監(jiān)控用戶操作行為并截取屏幕截圖，將所有信息竊取后發(fā)送給攻擊者。同時，它還會偽造金融平臺的登錄界面，以此騙取用戶的賬戶憑證，甚至?xí)L試竊取用戶的鎖屏密碼。

惡意軟件會持續(xù)與命令與控制（C2）服務(wù)器保持連接，一方面將竊取到的數(shù)據(jù)上傳至服務(wù)器，另一方面接收來自攻擊者的命令執(zhí)行指令、配置更新信息，同時服務(wù)器還會推送偽造的應(yīng)用內(nèi)內(nèi)容，讓TrustBastion看起來更像一款正規(guī)應(yīng)用。

發(fā)現(xiàn)此次攻擊活動的研究人員已就該威脅者的惡意倉庫問題向Hugging Face平臺進行通報，平臺隨即移除了包含惡意軟件的相關(guān)數(shù)據(jù)集。研究人員也公開發(fā)布了針對該投放器、相關(guān)網(wǎng)絡(luò)及惡意安裝包的入侵指標（IOC）。

安全專家提醒安卓用戶，應(yīng)避免從第三方應(yīng)用商店下載應(yīng)用或手動安裝應(yīng)用程序；同時，安裝應(yīng)用時要仔細查看其申請的權(quán)限，確認所有權(quán)限均為應(yīng)用實現(xiàn)核心功能所必需。

參考及來源：https://www.bleepingcomputer.com/news/security/hugging-face-abused-to-spread-thousands-of-android-malware-variants/