概要
Hugging Faceリポジトリが悪用され、Android向けリモートアクセス型トロイの木馬(RAT)が配布されているという新たなキャンペーンが確認されました。この洗練された攻撃は、ソーシャルエンジニアリング、正規のインフラの悪用、そしてAndroidのアクセシビリティサービスを悪用することで、従来のセキュリティ対策を回避しています。
攻撃の詳細と感染経路
攻撃は、偽の広告を通じて「TrustBastion」と称するドロッパーアプリを配布することから始まります。このアプリは、詐欺、フィッシング、マルウェアのスキャンを謳い、ユーザーに手動でのインストールを促します。インストール後、Google Playのダイアログを模倣した欺瞞的な更新プロンプトが表示され、Hugging Faceのリポジトリから悪意のあるペイロードがダウンロードされます。
攻撃は二段階の感染チェーンで進行します。まず、ドロッパーアプリは「trustbastion[.]com」に接続し、そこから「huggingface[.]co/datasets/xcvqsccm/sfxyt851/resolve/main/b.apk」のようなHugging Faceデータセットへのリダイレクトが行われます。悪意のあるAPKはHugging FaceのCDNからダウンロードされるため、疑わしいドメインの精査を回避します。
検出回避のための高度な手口
攻撃者は、急速なポリモーフィズムを利用してハッシュベースの検出を回避しています。約15分ごとに新しいAPKが生成され、29日間で6,000以上のコミットがリポジトリに追加されたことが確認されています。このサーバーサイドのポリモーフィズムは、動作を維持しながらハッシュを改変し、シグネチャベースのツールを無力化します。
Bitdefenderのモバイルセキュリティは、この高度な手口に対し、パーミッションの悪用やC2(コマンド&コントロール)パターンなどの行動分析を通じて検出に成功しています。
デバイスの制御とデータ窃盗
インストールされたRATは、「電話のセキュリティ」を装ってアクセシビリティサービスへのアクセスを要求し、スクリーンレコーディング、オーバーレイ、キャストの権限を獲得します。これにより、攻撃者はリアルタイムでの監視、ユーザー操作の監視、画面キャプチャ、およびデバイスからのデータ窃盗を可能にします。
窃取されたデータは、「trustbastion[.]com」に関連するC2サーバー「154.198.48.57:5000」に送信されます。さらに、偽のインターフェースを表示してAlipayやWeChatの認証情報を窃取しようと試み、ロック画面の情報も狙います。永続的な接続は、攻撃者が常にデバイスを制御できるように維持されます。
対策と専門家の警告
BitdefenderはHugging Faceにこの事態を通知し、問題のデータセットは迅速に削除されました。しかし、この事件は、オープンなプラットフォームが悪用された場合に生じる潜在的なリスクを浮き彫りにしています。Hugging Faceのようなモデルホスティングプラットフォームは、その信頼性から防御側の注意を低下させることがあります。
専門家は、偽のセキュリティアプリ、アクセシビリティサービスの許可要求、およびリポジトリへの急増するコミットに対して警戒を怠らないよう呼びかけています。ユーザーは、以下の対策を徹底するよう強く推奨されています。
- 行動分析に基づくアンチウイルスソリューションの利用
- 不必要な権限の制限
- Hugging Faceなどのプラットフォームにおける異常な活動の監視
- 公式ストアからのアプリの検証
IoC (Indicators of Compromise)
- d184d705189e42b54c6243a55d6c9502
- d8b0fd515d860be2969cf441ea3b620d
- b716a8a742fec3084b0f497abbfecfc0
- 15bdc66aca9fb7290165d460e6a993a9
元記事: https://gbhackers.com/hugging-face-hijacked-for-android-rats/