Aggiornamenti recenti Gennaio 30th, 2026 5:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hugging Face sfruttato per distribuire un trojan Android
- OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE
- PackageGate: trovati sei bug zero-day nei package manager, ma NPM non interviene
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
Hugging Face sfruttato per distribuire un trojan Android
I ricercatori di BitDefender hanno scoperto una campagna che sfrutta tecniche di social engineering, i servizi di accessibilità Android e l’infrastruttura di Hugging Face per distribuire un trojan.
La natura della piattaforma, utilizzata dagli utenti per caricare modelli di machine learning, dataset e altri tool di sviluppo, permette di fatto anche ai cybercriminali di caricare i propri payload: Hugging Face infatti sembra non avere filtri sufficienti per bloccare upload malevoli, come, in questo caso, il trojan. Sebbene i contenuti vengano scansionati con ClamAV, un motore antivirus open-source, non tutti i payload sospetti vengono bloccati.
La campagna inizia con la diffusione di un’app Android chiamata TrustBastion. Gli utenti vengono spinti a scaricare l’app tramite annunci che notificano che il telefono è infetto e proponendo appunto TrustBastion come soluzione per individuare tentativi di phishing, scam e comunicazioni fraudolente.
L’app in sé non è malevola, ma funge semplicemente da dropper. Dopo l’installazione, l’app mostra un falso prompt di “aggiornamento disponibile”, realizzato per sembrare un messaggio legittimo di Android o Google Play; cliccando sul pulsante di aggiornamento, l’utente scarica l’effettivo malware.
È a questo punto che entra in gioco l’infrastruttura di Hugging Face: poiché spesso il traffico da domini sospetti viene limitato e bloccato, invece di scaricare lo spyware da un dominio custom, il payload effettua una richiesta al sito web di TrustBastion; a questa richiesta il server risponde con una pagina HTML la quale a sua volta contiene un link che punta al file APK su Hugging Face. Il payload finale viene quindi scaricato direttamente dalla piattaforma.
Una volta installato, il payload malevolo richiede permessi critici spacciandoli per funzionalità di sistema e guida l’utente all’attivazione dei servizi di accessibilità, un tassello chiave per ottenere pieno controllo del dispositivo. Il trojan richiede inoltre permessi per registrare lo schermo, fare casting del display e visualizzare overlay per poter catturare e manipolare ciò che è mostrato sullo schermo in tempo reale.
Il malware è anche in grado di mostrare finte interfacce di autenticazione per servizi come Alipay e WeChat per rubare le credenziali utente, oltre a catturare informazioni di sblocco e input di autenticazione. L’attività dell’utente e i contenuti vengono poi inviati a un server C2.
Analizzando il repository di Hugging Face, i ricercatori hanno scoperto che gli attaccanti caricavano un nuovo payload ogni 15 minuti circa. Ogni nuova versione dell’APK manteneva le stesse funzionalità e introduceva solo piccole modifiche per eludere la detection hash-based.
Il repository di TrustBastion è stato eliminato alla fine di dicembre, ma i ricercatori hanno individuato un nuovo repository, questa volta di un’app chiamata Premium Club, che condivide lo stesso codice del primo trojan.
Il team di Bitdefender ha contattato Hugging Face per notificargli la minaccia e la piattaforma ha tolto immediatamente i dataset che contenevano il malware. Il consiglio per gli utenti è come sempre di non scaricare applicazioni al di fuori di marketplace ufficiali o installare APK manualmente; inoltre, è necessario controllare sempre quali permessi si stanno per fornire a un’applicazione e verificare se siano davvero necessari per le sue funzionalità.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hugging Face sfruttato per distribuire un trojan Android I ricercatori di BitDefender hanno scoperto una campagna... -
OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE Pochi giorni fa OpenSSL ha rilasciato alcune patch per... -
PackageGate: trovati sei bug zero-day nei package manager,... La società di sicurezza Koi Security ha pubblicato una... -
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo...
Ransomware: la serie
No posts found.