- ハッカーはHugging Faceを利用し、偽のウイルス対策アプリ「TrustBastion」を介してAndroidマルウェアを配布
- マルウェアはスクリーンショット、ロックコード、決済サービスのログイン情報を盗み、攻撃者のサーバーへデータを流出させる
- 削除後も新たなリポジトリでキャンペーンが継続し、未検証のアプリ入手元がもたらすリスクが浮き彫りに
専門家は、ハッカーがHugging Faceプラットフォームを悪用して、侵害された端末を完全に乗っ取れるAndroidマルウェアを配布していると警告している。
Hugging FaceはAIツールや機械学習のためのオープンプラットフォームで、ユーザーはAI、NLP、MLモデルをホストして配布できる――しかし、毒入りのモデルの足がかりとして使われることもあるようだ。
今回、犯罪者はこれを利用してAndroidマルウェアを配布したと、Bitdefenderのサイバーセキュリティ研究者が指摘している。発端は「TrustBastion」と呼ばれるドロッパーアプリだった。
数千件のコミット
このアプリはAndroid向けのウイルス対策ソリューションのように振る舞い、ウイルス保護、フィッシング、マルウェア、不正なSMSメッセージへの防御をうたっている。しかしTrustBastionはスケアウェアとして動作し、被害者がインストールするとすぐに「端末がマルウェアに感染している」と表示する。そしてアプリの更新を要求するが、そのタイミングで実際に悪意のあるコードがインストールされる。
マルウェアを配布するために、TrustBastionはサードパーティのサーバーに接続し、そこから悪意のあるAPKがホストされたHugging Faceのリポジトリへリダイレクトされる。以降、マルウェアはダウンロードされ、Hugging FaceのCDN経由で配布される。
この種のキャンペーンは残念ながら珍しくないが、今回のものは成功も収めていた。Bitdefenderによれば、活動開始から1か月未満で6,000件を超えるコミットが蓄積されたという。さらに悪いことに、キャンペーンが発見され停止された直後、新しいアイコンを使いながらも同じ悪意のあるコードを保持した「Premium Club」という新たなリポジトリが出現した。
マルウェア自体もかなり強力だ。スクリーンショットを取得し、人気の決済サービス向けに偽のログイン画面を表示し、ロック画面のコードを盗むことができる。これらはすべてサードパーティのサーバーへ送信される。
この種のマルウェアに対する最善の防御策は、Google PlayストアやGalaxy Storeなど、信頼できる入手元からのみAndroidアプリをダウンロードすることだ。また、レビューに目を通し、ダウンロード数や総合評価にも注意を払うようにしたい。
