Ciberdelincuentes Distribuyen Malware Android Usando la Infraestructura de Hugging Face

Introducción

La proliferación de troyanos de acceso remoto (RAT) dirigidos a dispositivos Android sigue creciendo en sofisticación y alcance, aprovechando nuevas herramientas y servicios legítimos para evadir las defensas tradicionales. Recientemente, Bitdefender ha publicado una investigación que revela una campaña activa en la que los actores de amenazas emplean la infraestructura de Hugging Face, reconocida plataforma de inteligencia artificial y repositorios de modelos de código abierto, como vector para alojar y distribuir malware a gran escala. Esta técnica representa un salto cualitativo en la explotación de recursos cloud legítimos y plantea nuevos retos para los equipos de ciberseguridad.

Contexto del Incidente

La campaña, identificada durante el segundo trimestre de 2024, está dirigida principalmente a usuarios de Android en Europa y América Latina, aunque no se descartan afectaciones en otras regiones. Los atacantes han optado por Hugging Face, plataforma utilizada habitualmente por desarrolladores de IA y científicos de datos, para alojar cargas maliciosas y facilitar su distribución a través de canales aparentemente legítimos. La elección de este recurso representa una evolución respecto a campañas anteriores que empleaban servicios de almacenamiento en la nube como Google Drive o Dropbox, reflejando una tendencia creciente de abuso de infraestructuras SaaS y colaborativas.

Detalles Técnicos

Según Bitdefender, la campaña utiliza variantes del troyano de acceso remoto (RAT) conocidos como «SpyNote» y «Anubis», ambos con historial de ataques dirigidos a Android. Los archivos maliciosos se alojan en repositorios públicos de Hugging Face, disfrazados como aplicaciones utilitarias, actualizaciones de software o herramientas relacionadas con criptomonedas.

– CVE y vectores de ataque: Aunque no se ha identificado un CVE específico para la vulnerabilidad explotada, la campaña se basa principalmente en ingeniería social y la descarga de APKs fuera de Google Play, aprovechando la configuración de «orígenes desconocidos» activada en los dispositivos.
– TTPs (MITRE ATT&CK): Los atacantes emplean técnicas de Spear Phishing (T1566), Malicious File Delivery (T1204), Abuse of Cloud Storage (T1530), y Remote Access Tools (T1219).
– IoC (Indicadores de Compromiso): URLs de repositorios Hugging Face, hashes SHA-256 de APKs maliciosos, dominios C2 y patrones de tráfico inusual hacia endpoints de Hugging Face.
– Herramientas: Se han detectado scripts de automatización para la subida masiva de archivos, así como la utilización de frameworks como Metasploit y Cobalt Strike para el desarrollo y prueba de los payloads.

Impacto y Riesgos

El uso de Hugging Face como infraestructura de distribución proporciona a los atacantes varias ventajas: alta disponibilidad, reputación legítima del dominio, cifrado TLS y baja probabilidad de ser bloqueado por mecanismos de filtrado convencionales. Según estimaciones de Bitdefender, al menos un 8% de los dispositivos Android protegidos por sus soluciones detectaron intentos de descarga o ejecución del malware entre abril y junio de 2024.

Los riesgos principales incluyen:

– Robo de credenciales bancarias y datos personales.
– Acceso remoto persistente, permitiendo el control completo del dispositivo.
– Instalación de payloads adicionales para ransomware, keylogging o exfiltración de SMS (OTP).
– Potenciales implicaciones legales bajo GDPR y NIS2, especialmente en entornos empresariales que permitan BYOD (Bring Your Own Device).

Medidas de Mitigación y Recomendaciones

Para contener y prevenir este tipo de ataques, los equipos de seguridad deben:

1. Restringir la instalación de aplicaciones desde orígenes desconocidos mediante políticas MDM.
2. Bloquear el acceso a repositorios no verificados de Hugging Face en entornos empresariales.
3. Monitorizar IoC publicados por Bitdefender y actualizar listas negras de URLs y hashes.
4. Implementar soluciones EDR y herramientas de análisis de tráfico que detecten conexiones inusuales hacia plataformas SaaS.
5. Mantener formaciones periódicas sobre ingeniería social y riesgos de aplicaciones no verificadas.

Opinión de Expertos

Varios analistas de ciberseguridad advierten que el abuso de plataformas legítimas es una tendencia al alza en 2024. Según David Barroso, CEO de CounterCraft, “los ciberdelincuentes están migrando a infraestructuras cloud públicas porque ofrecen anonimato y escalabilidad, además de dificultar la atribución y el bloqueo sin afectar la productividad de los usuarios legítimos.” Por su parte, Bitdefender subraya la necesidad de una colaboración activa entre proveedores de servicios cloud y la comunidad de ciberseguridad para agilizar la detección y retirada de contenido malicioso.

Implicaciones para Empresas y Usuarios

El impacto de estas campañas va más allá del usuario individual. Organizaciones que permiten dispositivos Android personales o de empresa están potencialmente expuestas a brechas de datos, robo de credenciales corporativas o ataques de ransomware dirigidos. La legislación vigente (GDPR, NIS2) obliga a las organizaciones a implementar medidas de protección adecuadas y notificar incidentes de seguridad que puedan comprometer datos personales.

Se recomienda a los responsables de seguridad realizar auditorías periódicas de los dispositivos móviles y revisar las políticas de acceso a plataformas colaborativas como Hugging Face, especialmente en equipos de desarrollo y ciencia de datos.

Conclusiones

La utilización de plataformas de IA como Hugging Face para distribuir malware dirigido a Android supone un salto en la sofisticación de las campañas de ciberamenazas, poniendo a prueba la capacidad de detección y respuesta de las organizaciones. El sector debe intensificar la vigilancia sobre servicios SaaS y promover la colaboración público-privada para mitigar estos riesgos emergentes.

(Fuente: www.cybersecuritynews.es)