AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña de malware en Android utiliza Hugging Face para distribuir miles de APK maliciosas

admin

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de malware dirigida a dispositivos Android, donde los atacantes emplean la plataforma Hugging Face como repositorio para almacenar y diseminar miles de variantes de APK maliciosas. El objetivo principal de esta campaña es la exfiltración de credenciales asociadas a servicios financieros y de pago ampliamente utilizados. Este ataque pone de manifiesto la evolución de los grupos cibercriminales, que explotan infraestructuras legítimas para evadir los controles tradicionales y maximizar el impacto de sus operaciones.

Contexto del Incidente

La campaña fue detectada por primera vez a finales de mayo de 2024, cuando varios analistas SOC identificaron patrones inusuales en los flujos de descarga de APK desde dominios asociados a Hugging Face, una plataforma ampliamente reconocida en el ámbito de la inteligencia artificial y el machine learning. Los ciberdelincuentes han aprovechado la confianza y el prestigio de esta plataforma para alojar, en repositorios públicos y privados, más de 3.200 variantes de aplicaciones maliciosas destinadas a dispositivos Android. La tipología de las apps simulaba ser utilidades legítimas, herramientas financieras y aplicaciones populares de pago, con el objetivo de engañar al usuario y facilitar la instalación del malware.

Detalles Técnicos

El análisis forense ha revelado que los APK maliciosos comparten un núcleo funcional común, asociado a la familia de malware conocida como “SpyNote” (CVE-2023-35708), aunque se han observado modificaciones en el empaquetado y en los métodos de ofuscación para evadir las soluciones de detección tradicionales. Los vectores de ataque principales incluyen enlaces de phishing enviados por SMS (smishing), campañas de correo electrónico y la distribución a través de tiendas de apps alternativas no oficiales (third-party stores).

La cadena de infección se inicia con la descarga e instalación del APK desde un enlace que, en muchos casos, parece legítimo gracias al uso de acortadores de URL y técnicas de homógrafos. Una vez ejecutada la app, el malware solicita permisos elevados (acceso a SMS, contactos, almacenamiento y superposición en pantalla), lo que le permite interceptar credenciales, tokens de autenticación y datos bancarios ingresados por el usuario. Además, se han detectado rutinas para el robo de códigos OTP y la manipulación de notificaciones push.

Las TTPs identificadas se corresponden con las técnicas recogidas en el framework MITRE ATT&CK bajo los siguientes identificadores:

– T1609 (Container Administration Command)
– T1059.007 (Command and Scripting Interpreter: JavaScript)
– T1071.001 (Application Layer Protocol: Web Protocols)

Entre los indicadores de compromiso (IoC) destacan los hash SHA-256 de los APK, direcciones IP asociadas a servidores C2 en Asia y Europa del Este, y patrones de comportamiento inusual en el tráfico de red (exfiltración cifrada hacia dominios bajo control de los atacantes).

Impacto y Riesgos

El alcance de la campaña es significativo: según datos recopilados por diversas plataformas de threat intelligence, más de 40.000 descargas únicas han sido registradas durante las primeras dos semanas de actividad, con una tasa de infección confirmada del 7%. Los principales riesgos identificados incluyen:

– Robo de credenciales bancarias y de servicios de pago como PayPal, Google Pay y aplicaciones de banca móvil.
– Acceso no autorizado a cuentas personales y empresariales.
– Potencial uso de las credenciales exfiltradas para fraudes financieros y movimientos de dinero no autorizados.
– Impacto reputacional y económico para entidades financieras y proveedores de servicios afectados.

En el caso de entidades sujetas al RGPD y la inminente directiva NIS2, la falta de protección adecuada puede derivar en sanciones considerables y en la obligación de notificar incidentes a las autoridades competentes en menos de 72 horas.

Medidas de Mitigación y Recomendaciones

Para minimizar la exposición y el riesgo de compromiso, se recomienda a los equipos de ciberseguridad:

1. Bloquear y monitorizar el tráfico saliente hacia dominios y direcciones IP asociados a Hugging Face si no son necesarios para la operativa empresarial.
2. Implementar soluciones EDR en dispositivos móviles, con análisis de comportamiento y detección de aplicaciones no autorizadas.
3. Restringir la instalación de apps a través de Google Play Store y desactivar la opción de “instalación desde fuentes desconocidas” en dispositivos corporativos.
4. Concienciar a usuarios y empleados sobre los riesgos de descargar apps fuera de canales oficiales y sobre técnicas de phishing.
5. Implementar autenticación multifactor (MFA) para el acceso a servicios críticos y monitorizar el uso de credenciales comprometidas.

Opinión de Expertos

Diversos analistas del sector, como el equipo de Threat Intelligence de Kaspersky y la consultora S21sec, advierten que el uso de plataformas legítimas para la distribución de malware es una tendencia al alza, dificultando la labor de los sistemas de detección y respuesta. Según Javier Rubio, analista senior de ciberamenazas, “este tipo de campañas demuestra que los atacantes han madurado sus TTPs, explotando no solo vulnerabilidades técnicas sino también la confianza en plataformas ampliamente utilizadas por la comunidad tecnológica”.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas del sector financiero, esta campaña subraya la importancia de fortalecer los controles en dispositivos móviles, así como de mantener actualizados los procedimientos de respuesta ante incidentes. Los usuarios finales, por su parte, deben extremar la precaución a la hora de instalar aplicaciones y estar atentos a signos de actividades anómalas en sus cuentas bancarias y de pago.

Conclusiones

La campaña de malware en Android que utiliza Hugging Face como vector de distribución supone una amenaza avanzada y persistente, destacando la necesidad de adoptar un enfoque proactivo y multidisciplinar en la protección de dispositivos y credenciales financieras. El uso de infraestructuras legítimas eleva la complejidad de la respuesta y exige a los equipos de ciberseguridad una vigilancia constante y adaptativa.

(Fuente: www.bleepingcomputer.com)