网络安全领域再曝重大风险事件,知名开源社区 Hugging Face 遭黑客利用,成为传播安卓恶意软件的跳板。该恶意软件以金融盗窃为主要目标,通过一系列隐蔽手段窃取用户支付宝、微信等金融应用的账号密码,甚至试图获取手机锁屏 PIN 码,对用户财产安全构成严重威胁。
Hugging Face 作为全球人工智能开发者聚集的开源平台,因高信誉度常被安全软件列入白名单。然而,黑客正是利用这一特性,将恶意软件伪装成正常应用,通过该平台分发。此次攻击主要针对安卓用户,攻击者通过投放恐吓式广告,谎称用户设备感染病毒,诱导其下载名为“TrustBastion”的诱饵应用。
用户安装“TrustBastion”后,应用会立即弹出伪装成 Google Play 风格的强制更新提示。实际上,该应用本身并不直接包含恶意代码,而是通过连接服务器,将用户重定向至 Hugging Face 的数据集仓库,下载真正的恶意 APK 文件。这种“分步加载”的方式增加了安全软件的检测难度。
为逃避杀毒软件的查杀,“TrustBastion”采用了“服务端多态性”技术。该技术每隔 15 分钟自动生成一个新的恶意代码变种,通过改变代码特征来规避特征码扫描。调查显示,涉事仓库在短短 29 天内提交了超过 6000 次代码更新,显示出攻击者的高频操作和隐蔽意图。即使原始仓库被封禁,攻击者仍迅速更换名称和图标,继续利用相同代码作恶。
恶意软件一旦植入用户设备,会以“安全需要”为由,强行请求安卓系统的“辅助功能服务”权限。获得该权限后,恶意软件即可完全控制手机,包括监控屏幕内容、执行滑动操作,甚至阻止用户卸载应用。更危险的是,它会全天候连接命令与控制服务器,实时上传窃取的数据。
在金融盗窃方面,该恶意软件通过监控用户活动,在用户打开支付宝、微信等金融应用时,覆盖一层伪造的登录界面,诱骗用户输入账号密码。它还会尝试窃取手机的锁屏 PIN 码,进一步扩大攻击范围。这种多层次的窃取手段,使得用户财产面临极大风险。
目前,网络安全公司 Bitdefender 已向 Hugging Face 通报了相关情况,恶意数据集已被移除。然而,专家提醒用户,仍需保持警惕,切勿通过第三方渠道下载应用,并仔细审查应用索取的权限,避免授予不必要的敏感权限。此次事件再次凸显了开源平台安全管理的复杂性,以及用户提升安全意识的紧迫性。
