Hugging Face verspreidt trojan die toegang tot je Android-toestel overneemt
Hugging Face mag je gerust als populair bestempelen. Het platform heeft meer dan 12 miljoen gebruikers, die er de open AI-modellen benutten. Je vindt er modellen, datasets en applicaties voor kunstmatige intelligentie (AI), natuurlijke taalverwerking (NLP) en machinaal leren (ML). Men ziet het dus als een betrouwbare plek, maar net als in het verleden is het nu opnieuw misbruikt om een kwaadwillige APK-payload in verschillende gedaantes te verspreiden. Deze schadelijke code verzamelt inloggegevens van je toestel en van de financiële diensten die je gebruikt (via Bleeping Computer).
Onderzoekers van het Roemeense cybersecuritybedrijf Bitdefender hebben de malware die zich richt op Android-apparaten ontdekt. Ze hebben meteen Hugging Face op de hoogte gebracht. Zo kon het platform de datasets die de malware verspreiden verwijderen.
Infectie in twee stappen
Bitdefender ontdekte dat de malware binnenkomt via een dropper-app. Die applicatie die malware meesmokkelt, gaat onder de naam TrustBastion – van een bedrieglijke naam gesproken … Via verleidelijke advertenties maakt die app mogelijke slachtoffers bang. Het apparaat zou geïnfecteerd zijn en met dit beveiligingsprogramma zou dat opgelost raken. TrustBastion beweert bedreigingen zoals oplichting, frauduleuze sms-berichten, phishingpogingen en malware te detecteren.
Al meteen na de installatie klapt de valstrik dicht. Je krijgt een melding dat er een update nodig is. Die melding lijkt op hetgeen je te zien krijgt van Google Play. Keur je dat goed, dan maakt de app verbinding met een server, die omleidt naar de hostplek van de kwaadaardige code op Hugging Face. De payload, de schadelijke code dus, staat op dat platform. Dat komt de hacker goed uit, want Hugging Face staat geseind als betrouwbaar, waardoor zo’n beweging niet als verdacht wordt bestempeld. De cybercrimineel laat daarnaast nog elk kwartier nieuwe varianten van die payload maken. Zo ontwijkt hij de detectiesystemen.
Toen BitDefender dit ontdekte, stond die payload al bijna een maand op Hugging Face. Daarbij verzamelde hij meer dan 6.000 codewijzigingen. Toen Hugging Face de opslagplek van de schadelijke code offline haalde, verscheen die daarna onder een nieuwe naam: Premium Club.
Valse schermen tonen en alles vastleggen
De code creëert toegang tot het Android-toestel vanop afstand. Zo kan de malware een extra schermlaag activeren en vastleggen wat de gebruiker ziet en doet, maar ook zelf de cursor laten bewegen of pogingen om de app te verwijderen blokkeren. In dit geval maakt de malware screenshots en toont ze valse inlogschermen van Alipay en WeChat. Zo kan het inloggegevens stelen en ook de authenticatiecode vastleggen om toegang te krijgen tot het toestel.
Door de verbinding met de server krijgt de cybercrimineel alle gestolen gegevens constant toegestuurd.
Dit is nog maar eens een bewijs dat je het best niet klikt op dergelijke advertenties die inspelen op angst. Daarenboven let je best op waarvoor je allemaal toestemming verleent. Je moet nog altijd zelf de machtigingen geven aan een app. Zijn die buitensporig voor de taken die de app normaliter moet doen, dan mag je je serieus vragen beginnen stellen.
