关键词

黑客

一款新型安卓恶意软件攻击活动正将 Hugging Face 平台当作仓库,存放数千个安卓应用安装包(APK)载荷变种,专门窃取主流金融及支付平台的用户凭证。

Hugging Face 主要用于托管和分发人工智能(AI)、自然语言处理(NLP)及机器学习(ML)模型、数据集与相关应用。该平台向来被视为可信度较高的技术平台,一般不会触发安全告警,但此前也曾有不法分子滥用该平台托管恶意人工智能模型。研究人员发现,攻击者正是利用 Hugging Face 平台的这一特性,大规模分发安卓恶意软件。

该攻击活动的诱导流程如下:攻击者通过恐吓式广告吸引受害者,谎称其设备已遭病毒感染,诱骗用户安装一款名为 TrustBastion 的投放器应用。这款恶意应用伪装成安全工具,对外宣称可检测诈骗信息、钓鱼短信、钓鱼攻击及恶意软件等各类威胁。

用户安装 TrustBastion 后,应用会立即弹出一个强制更新提示,其界面设计高度模仿谷歌应用商店,极具迷惑性。

打开网易新闻 查看精彩图片

假的 Google Play 页面

与直接投放恶意软件的方式不同,这款投放器会先连接与 trustbastion [ . ] com 相关联的服务器,该服务器会返回一个跳转链接,指向存储在 Hugging Face 数据集仓库中的恶意安装包。最终的恶意载荷会从 Hugging Face 的基础设施中下载,并通过其内容分发网络(CDN)完成投递。

为规避安全检测,威胁者采用了服务端多态技术,每 15 分钟就生成一个全新的恶意载荷变种。在本次调查期间,该恶意软件仓库已存在约 29 天,累计提交记录超 6000 条。

研究人员分析过程中,这个用于分发载荷的仓库曾被平台下架,但该攻击团伙很快以 "Premium Club" 的新名称卷土重来,更换了应用图标,却保留了全部恶意代码。

攻击活动中的核心恶意载荷尚未被命名,本质是一款远程控制工具。它会以保障安全为由,诱导用户授予安卓系统的辅助功能权限——而这正是该恶意软件实现攻击的关键。

打开网易新闻 查看精彩图片

无障碍服务请求

一旦获取该权限,恶意软件便能在用户屏幕上显示悬浮窗口、捕获屏幕内容、模拟滑动操作,甚至阻止用户卸载应用。

这款恶意软件会全程监控用户操作行为并截取屏幕截图,将所有信息窃取后发送给攻击者。同时,它还会伪造金融平台的登录界面,以此骗取用户的账户凭证,甚至会尝试窃取用户的锁屏密码。

恶意软件会持续与命令与控制(C2)服务器保持连接,一方面将窃取到的数据上传至服务器,另一方面接收来自攻击者的命令执行指令、配置更新信息,同时服务器还会推送伪造的应用内内容,让 TrustBastion 看起来更像一款正规应用。

发现此次攻击活动的研究人员已就该威胁者的恶意仓库问题向 Hugging Face 平台进行通报,平台随即移除了包含恶意软件的相关数据集。研究人员也公开发布了针对该投放器、相关网络及恶意安装包的入侵指标(IOC)。

安全专家提醒安卓用户,应避免从第三方应用商店下载应用或手动安装应用程序;同时,安装应用时要仔细查看其申请的权限,确认所有权限均为应用实现核心功能所必需。

打开网易新闻 查看精彩图片

安全圈

打开网易新闻 查看精彩图片

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!