Kampanye malware Android baru menggunakan platform Hugging Face sebagai tempat penyimpanan ribuan variasi muatan APK yang mengumpulkan kredensial untuk layanan keuangan dan pembayaran populer.
Hugging Face adalah platform populer yang menampung dan mendistribusikan model, kumpulan data, dan aplikasi kecerdasan buatan (AI), pemrosesan bahasa alami (NLP), dan pembelajaran mesin (ML).
Ini dianggap sebagai platform tepercaya yang tidak mungkin memicu peringatan keamanan, namun pelaku kejahatan telah menyalahgunakannya di masa lalu untuk menjadi tuan rumah model AI yang berbahaya.
Kampanye baru-baru ini yang ditemukan oleh para peneliti di perusahaan keamanan siber Rumania, Bitdefender, memanfaatkan platform tersebut untuk mendistribusikan malware Android.
Serangan dimulai dengan korban dibujuk untuk menginstal aplikasi dropper bernama TrustBastion, yang menggunakan iklan bergaya scareware yang mengklaim bahwa perangkat target terinfeksi. Aplikasi berbahaya ini menyamar sebagai alat keamanan, mengklaim dapat mendeteksi ancaman seperti penipuan, pesan SMS palsu, upaya phishing, dan malware.
Segera setelah instalasi, TrustBastion menampilkan peringatan pembaruan wajib dengan elemen visual yang meniru Google Play.
Sumber: Bitdefender
Alih-alih menyajikan malware secara langsung, dropper menghubungi server yang tertaut benteng kepercayaan[.]comyang mengembalikan pengalihan ke repositori kumpulan data Hugging Face yang menampung APK berbahaya. Muatan akhir diunduh dari infrastruktur Hugging Face dan dikirimkan melalui jaringan distribusi konten (CDN).
Untuk menghindari deteksi, pelaku ancaman menggunakan polimorfisme sisi server yang menghasilkan varian muatan baru setiap 15 menit, kata Bitdefender.
“Pada saat penyelidikan, repositori tersebut berumur sekitar 29 hari dan telah mengumpulkan lebih dari 6.000 komitmen.”
Selama analisis, repositori layanan payload dihapus, namun operasi tersebut muncul kembali dengan nama baru, ‘Premium Club,’ yang menggunakan ikon baru sambil tetap mempertahankan kode berbahaya yang sama.
Payload utama, yang tidak memiliki nama, adalah alat akses jarak jauh yang secara agresif mengeksploitasi Layanan Aksesibilitas Android, menampilkan permintaan tersebut sebagai hal yang diperlukan untuk alasan keamanan.
Sumber: Bitdefender
Hal ini memberi malware kemampuan untuk menampilkan overlay layar, menangkap layar pengguna, melakukan gesekan, memblokir upaya penghapusan instalasi, dan banyak lagi.
Dalam kasus ini, Bitdefender mengatakan malware tersebut memantau aktivitas pengguna dan menangkap tangkapan layar, lalu menyaring semuanya ke operatornya. Malware ini juga menampilkan antarmuka login palsu yang meniru layanan keuangan seperti Alipay dan WeChat untuk mencuri kredensial, dan juga berupaya mencuri kode layar kunci.
Sumber: Bitdefender
Malware tersebut tetap terhubung sepanjang waktu ke server perintah dan kontrol (C2), yang menerima data yang dicuri, mengirimkan instruksi eksekusi perintah, pembaruan konfigurasi, dan juga mendorong konten dalam aplikasi palsu untuk membuat TrustBastion tampak sah.
Bitdefender memberi tahu Hugging Face tentang repositori pelaku ancaman, dan layanan tersebut menghapus kumpulan data yang berisi malware tersebut. Para peneliti juga menerbitkan serangkaian indikator kompromi untuk dropper, jaringan, dan paket berbahaya.
Pengguna Android sebaiknya menghindari mengunduh aplikasi dari toko aplikasi pihak ketiga atau menginstalnya secara manual. Mereka juga harus meninjau izin yang diminta aplikasi dan memastikan semuanya diperlukan untuk fungsionalitas aplikasi yang diinginkan.
7 Praktik Terbaik Keamanan untuk MCP
Karena MCP (Model Context Protocol) menjadi standar untuk menghubungkan LLM ke alat dan data, tim keamanan bergerak cepat untuk menjaga keamanan layanan baru ini.
Lembar contekan gratis ini menguraikan 7 praktik terbaik yang dapat Anda mulai gunakan hari ini.
