Тысячи вариантов ворующего деньги трояна для Android раздавались с легальной платформы ИИ

Злоумышленники реализовали хитроумную схему с полиморфным вредоносом, чей основной компонент размещался на платформе Hugging Face. Однако в конечном счете все упиралось в социальную инженерию.

Хамелеон

Популярная платформа Hugging Face, на которой хостятся многочисленные разработки в области искусственного интеллекта и машинного обучения, использовалась злоумышленниками для распространения весьма изменчивого вредоносного ПО.

Специалисты по кибербезопасности румынской компании Bitdefender обнаружили кампанию, нацеленную на распространение тысяч различных вариаций вредоносного ПО, которые нацелены на кражу реквизитов доступа к популярным финансовым и платежным сервисам.

Hugging Face считается надежной платформой, однако в прошлом ее уже использовали для распространения вредоносных ИИ-моделей.



Фото: mammela / Pixabay Злоумышленники создали хитроумную схему распространения финансового вредоноса

По описанию Bitdefender, атака начинается с того, что жертву с помощью социальной инженерии - попросту говоря, мнимых уведомлений о заражении - заставляют установить себе приложение-дроппер TrustBastion, которое выдает себя за средство безопасности, якобы позволяющее выявлять всевозможные угрозы - мошенничество, фишинговые SMS, вредоносное ПО и т.д.

Сразу после установки TrustBastion выводит сообщение о необходимости загрузки обновления, которое визуально имитирует Google Play.

Если пользователь соглашается, дроппер устанавливает соединение с доменом trustbastion[.]com, который затем перенаправляет запрос к репозиторию Hugging Face, где хостится вредоносный APK-архив.

Он загружается на устройство жертвы через сеть доставки контента CDN.

Самая характерная особенность кампании - это то, что злоумышленники задействовали механизм серверного полиформизма, так что новый вариант вредоноса генерируется автоматически каждые 15 минут.

По данным Bitdefender, к моменту обнаружения репозиторию на Hugging Face было 29 дней, а количество коммитов достигло шести тысяч.

«В то время как серверный полиморфизм и использование ИИ-платформы в качестве хостинга создают впечатление какой-то особой технологической продвинутости вредоноса, но по своему назначению и функциям - это вполне типичный инструмент для кражи платежных данных, - считает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Основным способом проникновения на устройство жертвы остается социальная инженерия, все остальное в целом вторично по своей значимости».

Акт II

В процессе исследования репозиторий исчез, но лишь затем, чтобы вскоре заново всплыть под названием Premium Club; с новыми иконками, но все тем же вредоносным кодом.

Основной компонент пытается через службы доступности Android получить полный контроль над устройством под видом компонента безопасности.

В случае успеха, вредонос получает возможность делать перекрывать экран, делать скриншоты, имитировать некоторые жесты пользователя и блокировать любые попытки деинсталляции.

По словам исследователей, вредонос мониторит пользовательскую активность и переправляет данные о ней своим операторам.

Жертвам вредонос выводит поддельные интерфейсы платежных сервисов, в т.ч. Alipay и WeChat, а заодно пытается перехватить код блокировки экрана.

Характерной особенностью является то, что вредонос поддерживает постоянную связь с контрольным сервером, с которого и закачивается весь дополнительный контент - инструкции, настройки и поддельные интерфейсы.

Bitdefender проинформировал администраторов Hugging Face и о новом репозитории, и его вскоре ликвидировали.

Пользователям рекомендуется избегать установки каких-либо приложений из сторонних магазинов и репозиториев, и не устанавливать ничего вручную, если только они не знают точно, что делают.

Адрес новости:
https://safe.cnews.ru/news/top/2026-02-02_tysyachi_variantov_voruyushchego