1 月 30 日消息,網絡安全公司 Bitdefender 昨日(1 月 29 日)發布博文,報道稱有黑客利用 Hugging Face 分發安卓惡意軟件,竊取用戶的支付寶、微信等金融憑證。
注:Hugging Face 是全球知名的開源社區和平臺,供開發者托管、共享和協作開發人工智能模型、數據集和演示應用,可以視為 AI 界的“GitHub”或“應用商店”。由于其信譽度高,常被安全軟件列為白名單。
本次攻擊主要針對安卓用戶,通過恐嚇式廣告,謊稱用戶設備已感染病毒,誘導其下載名為“TrustBastion”的誘餌應用。
用戶安裝后,TrustBastion 會立即彈出一個偽裝成 Google Play 風格的強制更新提示。實際上,該應用并不直接包含惡意代碼,而是連接服務器,將用戶重定向至 Hugging Face 的數據集倉庫,下載真正的惡意 APK 載荷。
TrustBastion 為了對抗殺毒軟件,采用了復雜的“服務端多態性”技術,每隔 15 分鐘就會自動生成一個新的載荷變種,改變代碼特征以逃避特征碼掃描。
調查顯示,涉事倉庫在短短 29 天內就提交了超過 6000 次代碼更新。即便原始倉庫被封禁,攻擊者也迅速更名為“Premium Club”,更換圖標后繼續利用相同代碼作惡。
惡意載荷一旦植入,便會以“安全需要”為由,強行請求安卓系統的“輔助功能服務”(Accessibility Services)。獲得該權限后,惡意軟件即可完全接管手機:它不僅能監控屏幕內容、執行滑動操作,還能阻止用戶卸載該應用。更危險的是,它會全天候連接命令與控制服務器(C2),實時上傳竊取的數據。
該惡意軟件的核心目標是金融盜竊。它通過監控用戶活動,在用戶打開支付寶、微信等金融應用時,覆蓋一層偽造的登錄界面,誘騙用戶輸入賬號密碼。
它還會嘗試竊取手機的鎖屏 PIN 碼。Bitdefender 目前已向 Hugging Face 通報了相關情況,惡意數據集已被移除,但專家建議用戶切勿通過第三方渠道下載應用,并需警惕應用索取的不合理權限。
