Bitdefenderによると、Hugging Faceのインフラが悪用され、Android向けリモートアクセス型トロイの木馬(RAT)の配布に利用されていました。
攻撃チェーンは、広告、または複数の有用な機能を提供すると主張するセキュリティアプリケーションのダウンロードとインストールを促す案内から始まります。
TrustBastionと呼ばれるこのアプリケーションはドロッパーとして機能し、起動直後に更新の取得を促します。その際、正規のものに見えるGoogle PlayおよびAndroidシステム更新のダイアログを表示します。
ユーザーが同意すると、ドロッパーはtrustbastion[.]comにホストされた暗号化エンドポイントに接続します。そこではHugging Faceのリポジトリを指すHTMLページが提供され、その後、オンラインプラットフォームのデータセットから悪意のあるペイロードをダウンロードします。
Bitdefenderによれば、攻撃に使用されたHugging Faceのリポジトリは、オフライン化された時点で作成から約1か月で、6,000件を超えるコミットがありました。同社によると、新しいペイロードはおよそ15分ごとに生成されていました。
「そのリポジトリはいずれオフラインになりましたが、作戦全体は別のリンクへ移行しただけで、プロジェクトは異なるアイコンといくつかの小さな調整を用いていました。コードは同一のままでした」と、Bitdefenderは説明しています。
インストール後、悪意のあるペイロードはセキュリティ機能を装って広範な権限を要求し、ユーザーの操作を監視するためにユーザーを誘導してユーザー補助(Accessibility)サービスを有効化させます。
また、画面の録画、画面キャストの実行、オーバーレイの表示に関する権限も要求し、画面上のコンテンツをリアルタイムで観察・取得・改変できるようにします。
権限が有効になると、マルウェアは感染端末を制御し、画面内容をコマンド&コントロール(C&C)サーバーへ流出させることができます。
「このマルウェアは、機密性の高い認証情報を窃取するために設計された不正な認証インターフェースも表示します。AlipayやWeChatを含む、人気の金融・決済サービスになりすまそうとします」とBitdefenderは述べています。
さらに、このマルウェアはロック画面の情報や認証操作を取得でき、C&Cとの永続的な通信を維持しつつ、正規の機能を模倣するためのWebViewをダウンロードしている様子も確認されました。
「このインフラは、コマンドの受信、盗まれたデータの送信、感染端末への更新された設定情報の配信に使用されます。同じインフラは、初期ドロッパーにHugging Faceのダウンロードリンクを提供することで、ペイロードのリダイレクトも容易にします」とBitdefenderは述べています。
12月末にTrustBastionをホストしていたリポジトリが消失した直後、別のリポジトリが出現し、Premium Clubをホストしていました。見かけ上は別のアプリですが、基盤となるコードは同一でした。Bitdefenderによると、Hugging Faceはマルウェアを配信していたデータセットを削除しました。
翻訳元: https://www.securityweek.com/hugging-face-abused-to-deploy-android-rat/
