Вредоносная кампания для Android использует инфраструктуру Hugging Face для распространения трояна
Исследователи обнаружили масштабную кампанию по распространению вредоносного ПО для Android, которая использует платформу Hugging Face для размещения вредоносных нагрузок. Как сообщает издание CSO, злоумышленники применяют социальную инженерию и поэтапную доставку вредоносного ПО для обхода защиты.
Согласно результатам исследования Bitdefender Labs, кампания начинается с легитимного приложения для Android, которое выступает в роли загрузчика. После установки приложение, маскируясь под системное уведомление, загружает основной вредоносный модуль с зашифрованного набора данных на Hugging Face.
Использование публичной платформы позволяет маскировать вредоносный трафик под легитимную активность разработчиков. Для уклонения от обнаружения на основе сигнатур злоумышленники автоматически генерируют тысячи вариантов Android-пакетов, создавая новые нагрузки примерно каждые 15 минут.
После установки основной нагрузки вредоносная программа, выдавая себя за системный компонент, запрашивает высокочувствительные разрешения, включая доступ к службам специальных возможностей, запись и трансляцию экрана. Эти разрешения, как сообщили исследователи, позволяют осуществлять мониторинг активности, отображение поддельных интерфейсов для сбора учетных данных, а также захват шаблонов блокировки и биометрических данных.
Платформа Hugging Face, получив уведомление, удалила вредоносные наборы данных. Однако, как отмечается, операция возобновилась в другом месте с минимальными изменениями основного кода. Для детектирования угрозы исследователи опубликовали соответствующие индикаторы компрометации.
Читайте также
