Des cybercriminels diffusent un malware Android via Hugging Face
Hugging Face, plateforme dédiée aux modèles et aux données d’entraînement en IA, a été détournée par des cybercriminels pour diffuser des logiciels malveillants sur des appareils Android.
Hugging Face, plateforme de partage de modèles de langage, de données d’entraînement et d’applications d’intelligence artificielle accessibles au téléchargement et au développement collaboratif, a récemment été exploitée par des acteurs malveillants pour diffuser des applications Android infectées, rapporte le site spécialisé Bleeping Computer, citant une analyse de l’éditeur de cybersécurité Bitdefender.
Un faux scanner de sécurité
Afin de dissimuler leurs activités le plus longtemps possible, les pirates utilisent une stratégie en plusieurs étapes. Ils commencent par proposer à leurs futures victimes un prétendu outil de sécurité. Pour inciter au téléchargement, ils diffusent de faux avertissements faisant état de failles de sécurité inventées et affirment que leur logiciel permet d’y remédier.
Dans un premier temps, l’application ne contient aucun logiciel malveillant connu. Elle n’est donc pas détectée comme dangereuse par les solutions de sécurité légitimes.
Mais la situation évolue rapidement. Selon l’analyse, l’application, toujours présentée comme un outil de sécurité, obtient d’abord des droits d’accès étendus sur l’appareil Android ciblé, avant de signaler qu’une mise à jour serait nécessaire.
Une menace aux multiples visages
Dès que l’utilisateur lance la prétendue mise à jour, Hugging Face entre en jeu. L’application télécharge alors les composants malveillants qui manquaient lors du téléchargement initial. Pour éviter une détection trop rapide par les solutions de sécurité, les cybercriminels font en sorte que la charge utile varie légèrement toutes les 15 minutes, souligne Bitdefender. Les attaquants cherchent également à dissimuler l’origine du code malveillant. L’application initiale ne mentionne jamais la plateforme: elle contacte d’abord un serveur intermédiaire, qui relaie ensuite la requête vers Hugging Face.
Bitdefender précise que la campagne de malware observée a disparu pendant l’analyse, avant de réapparaître peu après sous un autre nom et avec une nouvelle apparence, mais en conservant le même code malveillant.
Bleeping Computer rappelle enfin que Hugging Face reste, de manière générale, une plateforme digne de confiance. Elle a toutefois déjà été exploitée par le passé à des fins malveillantes: des cybercriminels avaient alors réussi à y introduire des modèles d’IA infectés par des malwares.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
