Eine neue Android-RAT-Kampagne verteilt Schadsoftware über Hugging Face und setzt auf Tricks, um Nutzer zum Installieren zu bewegen. Die Sicherheitsforscher von
Bitdefender beschreiben eine zweistufige Infektionskette, bei der zuerst ein Dropper installiert wird, also eine unauffällige Vorstufe und danach die eigentliche Schad-App nachgeladen wird, und schreiben, dass Hugging Face zum Hosten der gefährlichen Dateien missbraucht werde.
Laut dem Bericht beginnt der Angriff oft mit der App Trustbastion, die über Werbung oder Warnhinweise beworben wird, etwa mit der Behauptung, das Telefon sei infiziert. Nach der Installation zeige die App eine Update-Aufforderung, die wie ein offizielles Android- oder Google-Play-Update aussehe, um Nutzer zum Nachladen der nächsten Stufe zu bringen.
Die endgültige APK, (Android-Installationsdateien) werde über die Website von Trustbastion angestossen und dann von Hugging-Face-Datensätzen heruntergeladen, so die Analyse. Die Angreifer hätten zudem etwa alle 15 Minuten neue Varianten erzeugt, um Erkennung über Hashwerte zu erschweren, also über digitale Fingerabdrücke von Dateien, und nach dem Entfernen eines Repositories, sei der Betrieb auf einen anderen Link umgezogen.
Die nachgeladene Schadsoftware fordere laut den Forschern weitreichende Berechtigungen an, vor allem für Bedienungshilfen sowie Bildschirmfunktionen, um das Gerät zu überwachen und zu steuern. Genannt werden zudem gefälschte Login- und Finanzoberflächen zum Diebstahl von Zugangsdaten und eine Kommando- und Kontrollinfrastruktur, also Server, über die die Angreifer Befehle geben und Daten abziehen.
(dow)
