){kind=link}
Cibercriminosos estão usando a plataforma de inteligência artificial Hugging Face para distribuir malware para usuários Android. A descoberta foi revelada pela Bitdefender, que identificou milhares de vítimas infectadas pelo trojan de acesso remoto batizado de TrustBastion.
A Hugging Face é uma plataforma projetada para hospedar ferramentas de inteligência artificial, conjuntos de dados de modelos de linguagem e outros ativos relacionados.
smart_display
Nossos vídeos em destaque
No entanto, segundo a Bitdefender, a plataforma não realizou verificações suficientes para avaliar o conteúdo que os usuários enviam, permitindo que criminosos abusassem de sua reputação para distribuir malware.
Como funciona o golpe
A cadeia de infecção começa quando usuários baixam um aplicativo Android malicioso chamado TrustBastion. Este se apresenta como um scareware, ou seja, um software que assusta as vítimas.
Ele é imposto aos usuários por meio de pop-ups alarmantes que aparecem durante a navegação na internet, alegando falsamente que seus dispositivos estão infectados com malware e precisam de proteção imediata.
Na realidade, o aplicativo TrustBastion é um dropper, um tipo de malware projetado especificamente para baixar e instalar outras ameaças no dispositivo. Ao ser instalado, o aplicativo solicita imediatamente que o usuário execute uma atualização para poder usá-lo.
Essa atualização foi cuidadosamente projetada para se parecer com as caixas de diálogo legítimas do Google Play e do sistema Android, aumentando significativamente as chances de as vítimas seguirem as instruções sem desconfiar.
Roubo de credenciais financeiras
O objetivo final da operação é financeiro. O malware se faz passar por serviços de pagamento populares, especialmente na Ásia, como Alipay e WeChat Pay, criando telas falsas por cima dos aplicativos legítimos para coletar credenciais confidenciais quando os usuários tentam fazer login.
O trojan pode até mesmo capturar informações exibidas na tela de bloqueio do celular, incluindo códigos de verificação de segurança em duas etapas que alguns aplicativos financeiros mostram como notificações, permitindo que os criminosos passem completamente pela autenticação multifatorial.
Estratégia engenhosa para evitar detecção
Uma vez instalado, o dropper entra em contato com um endpoint criptografado hospedado no domínio trustbastion.com.
Em vez de retornar diretamente um arquivo APK malicioso, que poderia disparar alarmes de segurança, o servidor retorna um arquivo HTML aparentemente inofensivo.
Este arquivo HTML contém um link de redirecionamento que aponta para um repositório na plataforma Hugging Face, onde o malware está efetivamente hospedado.
Operação em escala industrial
A análise do repositório revelou uma campanha altamente organizada. Novas versões do malware eram geradas a cada 15 minutos, totalizando mais de 6.000 commits em apenas 29 dias.
Para evitar detecção, os criminosos usavam técnicas polimórficas, criando APKs com pequenas variações de código que burlam a identificação por assinatura digital.
Porém, a Bitdefender notou que essas versões compartilham padrões comportamentais comuns, tornando-as detectáveis por análise de comportamento.
A campanha mostrou-se persistente: mesmo após a Hugging Face remover os repositórios maliciosos, os criminosos simplesmente migraram para novos links mantendo o mesmo código.
Permissões invasivas
Após a instalação, o malware se disfarça como “Segurança do telefone” e solicita ativação dos Serviços de acessibilidade do Android, dando aos criminosos controle quase total sobre o dispositivo.
Com permissões para gravar e transmitir a tela, os atacantes monitoram todas as atividades do usuário em tempo real e enviam os dados para servidores de comando e controle.
Embora a Hugging Face tenha removido rapidamente os repositórios após o alerta, o incidente expõe falhas nos processos de verificação da plataforma.
Apesar de usar o antivírus ClamAV, a medida não impediu que milhares de dispositivos fossem comprometidos. A plataforma ainda não anunciou mudanças em seus protocolos de segurança.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.