🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha de malware para Android está usando a plataforma Hugging Face como repositório para milhares de variações de uma carga APK que coleta credenciais para serviços financeiros e de pagamento populares.
Hugging Face é uma plataforma popular que hospeda e distribui modelos, conjuntos de dados e aplicativos de inteligência artificial (IA), processamento de linguagem natural (PNL) e aprendizado de máquina (ML).
É considerada uma plataforma confiável que provavelmente não acionará avisos de segurança, mas agentes mal-intencionados abusaram dela no passado para hospedar modelos de IA maliciosos.
A recente campanha descoberta por pesquisadores da empresa romena de segurança cibernética Bitdefender aproveita a plataforma para distribuir malware Android.
O ataque começa com as vítimas sendo atraídas para instalar um aplicativo dropper chamado TrustBastion, que usa anúncios no estilo scareware, alegando que o dispositivo do alvo está infectado. O aplicativo malicioso está disfarçado como uma ferramenta de segurança, alegando detectar ameaças como golpes, mensagens SMS fraudulentas, tentativas de phishing e malware.
Imediatamente após a instalação, o TrustBastion mostra um alerta de atualização obrigatória com elementos visuais que imitam o Google Play.
Página falsa do Google PlayFonte: Bitdefender
Em vez de veicular malware diretamente, o dropper entra em contato com um servidor vinculado ao trustbastion[.]com, que retorna um redirecionamento para um repositório do conjunto de dados Hugging Face que hospeda o APK malicioso. A carga final é baixada da infraestrutura Hugging Face e entregue por meio de sua rede de distribuição de conteúdo (CDN).
Para evitar a detecção, o agente da ameaça usa polimorfismo do lado do servidor que gera novas variantes de carga útil a cada 15 minutos, diz o Bitdefender.
“No momento da investigação, o repositório tinha aproximadamente 29 dias e acumulava mais de 6.000 commits.”
Durante a análise, o repositório de serviço de carga útil foi retirado, mas a operação ressurgiu com um novo nome, ‘Premium Club’, que usava novos ícones, mas mantinha o mesmo código malicioso.
A carga principal, sem nome, é uma ferramenta de acesso remoto que explora agressivamente os serviços de acessibilidade do Android, apresentando a solicitação como necessária por motivos de segurança.
Solicitação de serviços de acessibilidadeFonte: Bitdefender
Isso dá ao malware a capacidade de exibir sobreposições de tela, capturar a tela do usuário, deslizar o dedo, bloquear tentativas de desinstalação e muito mais.
Nesse caso, a Bitdefender afirma que o malware monitora a atividade do usuário e captura screenshots, exfiltrando tudo para seus operadores. O malware também exibe interfaces de login falsas que se fazem passar por serviços financeiros como Alipay e WeChat para roubar credenciais e também tenta roubar o código da tela de bloqueio.
Sobreposições de phishing para PIN Alipay (esquerda) e PIN de tela de desbloqueio (direita) Fonte: Bitdefender
O malware permanece conectado o tempo todo ao servidor de comando e controle (C2), que recebe os dados roubados, envia instruções de execução de comandos, atualizações de configuração e também envia conteúdo falso no aplicativo para fazer o TrustBastion parecer legítimo.
O Bitdefender informou ao Hugging Face sobre o repositório do agente da ameaça e o serviço removeu os conjuntos de dados que continham o malware. Os pesquisadores também publicaram um conjunto de indicadores de comprometimento do dropper, da rede e de pacotes maliciosos.
Os usuários do Android devem evitar baixar aplicativos de lojas de aplicativos de terceiros ou instalá-los manualmente. Eles também devem revisar as permissões solicitadas por um aplicativo e garantir que todas elas sejam necessárias para a funcionalidade pretendida do aplicativo.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
Hugging Face é uma plataforma popular que hospeda e distribui modelos, conjuntos de dados e aplicativos de inteligência artificial (IA), processamento de linguagem natural (PNL) e aprendizado de máquina (ML).
É considerada uma plataforma confiável que provavelmente não acionará avisos de segurança, mas agentes mal-intencionados abusaram dela no passado para hospedar modelos de IA maliciosos.
A recente campanha descoberta por pesquisadores da empresa romena de segurança cibernética Bitdefender aproveita a plataforma para distribuir malware Android.
O ataque começa com as vítimas sendo atraídas para instalar um aplicativo dropper chamado TrustBastion, que usa anúncios no estilo scareware, alegando que o dispositivo do alvo está infectado. O aplicativo malicioso está disfarçado como uma ferramenta de segurança, alegando detectar ameaças como golpes, mensagens SMS fraudulentas, tentativas de phishing e malware.
Imediatamente após a instalação, o TrustBastion mostra um alerta de atualização obrigatória com elementos visuais que imitam o Google Play.
Página falsa do Google PlayFonte: Bitdefender
Em vez de veicular malware diretamente, o dropper entra em contato com um servidor vinculado ao trustbastion[.]com, que retorna um redirecionamento para um repositório do conjunto de dados Hugging Face que hospeda o APK malicioso. A carga final é baixada da infraestrutura Hugging Face e entregue por meio de sua rede de distribuição de conteúdo (CDN).
Para evitar a detecção, o agente da ameaça usa polimorfismo do lado do servidor que gera novas variantes de carga útil a cada 15 minutos, diz o Bitdefender.
“No momento da investigação, o repositório tinha aproximadamente 29 dias e acumulava mais de 6.000 commits.”
Durante a análise, o repositório de serviço de carga útil foi retirado, mas a operação ressurgiu com um novo nome, ‘Premium Club’, que usava novos ícones, mas mantinha o mesmo código malicioso.
A carga principal, sem nome, é uma ferramenta de acesso remoto que explora agressivamente os serviços de acessibilidade do Android, apresentando a solicitação como necessária por motivos de segurança.
Solicitação de serviços de acessibilidadeFonte: Bitdefender
Isso dá ao malware a capacidade de exibir sobreposições de tela, capturar a tela do usuário, deslizar o dedo, bloquear tentativas de desinstalação e muito mais.
Nesse caso, a Bitdefender afirma que o malware monitora a atividade do usuário e captura screenshots, exfiltrando tudo para seus operadores. O malware também exibe interfaces de login falsas que se fazem passar por serviços financeiros como Alipay e WeChat para roubar credenciais e também tenta roubar o código da tela de bloqueio.
Sobreposições de phishing para PIN Alipay (esquerda) e PIN de tela de desbloqueio (direita) Fonte: Bitdefender
O malware permanece conectado o tempo todo ao servidor de comando e controle (C2), que recebe os dados roubados, envia instruções de execução de comandos, atualizações de configuração e também envia conteúdo falso no aplicativo para fazer o TrustBastion parecer legítimo.
O Bitdefender informou ao Hugging Face sobre o repositório do agente da ameaça e o serviço removeu os conjuntos de dados que continham o malware. Os pesquisadores também publicaram um conjunto de indicadores de comprometimento do dropper, da rede e de pacotes maliciosos.
Os usuários do Android devem evitar baixar aplicativos de lojas de aplicativos de terceiros ou instalá-los manualmente. Eles também devem revisar as permissões solicitadas por um aplicativo e garantir que todas elas sejam necessárias para a funcionalidade pretendida do aplicativo.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
#samirnews #samir #news #boletimtec #hugging #face #é #abusado #para #espalhar #milhares #de #variantes #de #malware #android
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário