Cloud-Dienste und Open Source-Plattformen, die Modelle und Forschung zu teilen, werden von digitalen Kriminellen als Malware-Lagerungen wiederverwendet, und das letzte Beispiel wurde von der rumänischen Firma Bitdefender entdeckt: eine Kampagne, die die Hugging Face-Plattform verwendet, um Tausende von Varianten einer APK zu unterbringen, die Zahlungsdaten und mobiles Banking stehlen.
Der Angriff beginnt mit einer Gerste-App, die Benutzer nach dem Drücken von alarmistischen Anzeigen installieren, die angeben, dass das Gerät beeinträchtigt wird. Diese trapolate Anwendung - mit einem sichtbaren Namen auf vielen Proben wie TrustBastion - wird als Sicherheitstool verwendet und zwingt den Benutzer, ein "Update" zu akzeptieren, das Google Play-Elemente visuell reproduziert, um Vermutungen zu vermeiden. Statt den schädlichen Code im Installer selbst aufzunehmen, kontaktiert der Dropper einen Steuerserver, der eine Umleitung zu einem in Hugging Face untergebrachten Repository zurückgibt. Von dort wird die letzte Nutzlast über die Plattform CDN heruntergeladen.
Der technische Trick von Angreifern ist besonders effektiv: anstatt eine statische Binäreinheit zu bedienen, wendet der Bediener Polymorphismus auf Serverebene an und erzeugt alle paar Minuten neue Varianten der APK, um Signaturen und Erkennungen durch statische Analyse zu vermeiden. Bitdefender dokumentierte, dass das Repository in kurzer Zeit Tausende von Verpflichtungen akkumuliert hatte und dass, nachdem es zurückgezogen wurde, die Operation unter einem anderen Namen und mit neuen Icons wieder auftauchte und den gleichen böswilligen Kern beibehalten konnte. Weitere technische Details und Proben werden von den Forschern in ihrem ursprünglichen Bericht beschrieben. veröffentlicht von Bitdefender.
Die Endlast ist ein Remote Access Trojan (RAT), der Android Accessibility Services missbraucht, um eine erweiterte Kontrolle über das Gerät zu gewinnen. Durch diese Erlaubnis - dem Benutzer als etwas, das notwendig ist, um "protect" das Telefon - Malware kann Bildschirme überdecken, erfassen Sie das Bild der angezeigten Inhalte, simulieren Gesten, verhindern Deinstallationen und ausführen Aktionen, die normalerweise körperliche Interaktion erfordern.
Mit diesen Fähigkeiten kann schädliche Software falsche Schnittstellen über legitime Anwendungen injizieren: Experten beobachteten Phishing-Fenster, die Paywalkways und beliebte Finanzanwendungen imitieren, sowie Formen, die das Telefon entsperren PIN zu erfassen. Alle gestohlenen Informationen werden an die Befehls- und Kontrollserver gesendet, die auch die App "aliv" halten, die falsche Inhalte zeigt, so dass das Opfer glaubt, dass das Tool richtig funktioniert.
Angesichts dieser Art von Missbrauch von Distributionsplattformen entfernte Hugging Face die Daten, die von den Forschern gemeldet wurden, aber die Folge zeigt, wie legitime Dienste Vektoren für anspruchsvolle Kampagnen werden können, wenn der schädliche Einsatz von Ressourcen nicht kontrolliert wird. Um das Problem mit mehr Kontext zu verstehen, ist die öffentliche Website von Hugging Face bei Umarmungface.co und die technische Dokumentation der Ermittler, die zur Entfernung geführt.
Welches Risiko stellt das einem normalen Benutzer dar? Wenn Sie Apps installieren, die nicht von offiziellen Stores kommen und zusätzlich leistungsstarke Genehmigungen wie Accessibility Services gewähren, steigt das Risiko dramatisch an: Der Angreifer kann Ihre Interaktionen mit Bank-Apps, Supplant-Login-Bildschirmen sehen und erhalten Anmeldeinformationen oder Zugangscodes. Darüber hinaus kann es durch die anhaltende Natur dieser Ratten schwierig sein, sie zu entfernen, bis sie sorgfältig gehandelt werden.
Praktische Empfehlungen sind nicht neu, aber sie bleiben die effektivsten: es vermeidet die Installation von Anwendungen aus nicht verifizierten Ursprüngen, Bewertungen und Fragen die Berechtigungen, die jede App verlangt - vor allem Zugänglichkeit -, und akzeptiert nicht "Updates" außerhalb des offiziellen Stores. Google behält Ressourcen mit Anleitung zum Schutz Ihres Geräts und auf Play Protect, die Ihnen helfen können, Apps und verdächtige Verhaltensweisen auf Android zu überprüfen, und es wird empfohlen, diese Anleitungen zu folgen: Google Play Hilfe Center und Dokumentation für Entwickler über die Zugänglichkeit in evooper.android.com.
Wenn Sie vermuten, dass Ihr Gerät durch eine solche App beeinträchtigt wurde, ist es angebracht, schnell, aber mit Vorsicht zu handeln: die Zugänglichkeitsberechtigungen von den Einstellungen zu widerrufen, bevor Sie versuchen, die App zu deinstallieren, verwenden Sie den sicheren Modus, wenn die direkte Entfernung ausfällt, einen Scan mit anerkannten Sicherheitslösungen ausführen und Passwörter ändern und die Authentifizierung von zwei Faktoren in kritischen Diensten aktivieren. In Fällen von Finanzinformationen Diebstahl, kontaktieren Sie Ihre Bank, um verdächtige Bewegungen und Blockkarten oder Zugriffe zu melden.
Über die individuelle Maßnahme hinaus erinnert dieser Vorfall daran, dass Kooperations- und Vertriebsplattformen zur Verbesserung von Missbrauchserkennungswerkzeugen erforderlich sind: automatische Kontrollen, Überprüfung von ausführbaren Inhalten und agilere Antwortmechanismen sind der Schlüssel zur Reduzierung des Belichtungsfensters. Hugging Face Security Teams handelte nach Bitdefenders Benachrichtigung, aber die einfache Repositories und wechselnde Namen zeigen, dass die Herausforderung persistent ist.
In einem zunehmend zentralen mobilen Ökosystem im finanziellen und persönlichen Leben, die beste Verteidigung bleibt die Kombination von Benutzerbehutsamkeit und eine koordinierte Reaktion zwischen Forschern, Plattformen und Lieferanten. Halten Sie Ihr System und Anwendungen auf dem neuesten Stand, installieren Sie nur aus zuverlässigen Quellen und gewähren Sie keine sensiblen Berechtigungen ohne Verständnis, warum eine App sie benötigt; mit diesen einfachen Gewohnheiten reduzieren Sie die Oberfläche des Angriffs, die Kampagnen wie die von Bitdefender beschrieben auszunutzen versuchen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...