Un nouveau danger pour Android : les cybercriminels exploitent les plateformes d'IA pour diffuser des logiciels malveillants bancaires
Jakarta - Les cybercriminels utilisent désormais des plateformes d’intelligence artificielle (IA) fiables pour distribuer des logiciels malveillants sur les téléphones Android. Les dernières conclusions révèlent que l’infrastructure de Hugging Face, une plate-forme populaire pour les modèles et les ensembles de données d’IA, est utilisée pour distribuer un cheval de Troie Android dangereux appelé TrustBastion.
Selon un rapport de la société de sécurité informatique Bitdefender, TrustBastion se fait passer pour une application de sécurité et utilise des tactiques de scareware pour tromper les utilisateurs afin qu’ils l’installent. L’application fausse affiche des alertes de menaces fausses et encourage les utilisateurs à télécharger des « mises à jour urgentes ».
Au lieu d'obtenir une mise à jour officielle, les utilisateurs sont redirigés vers un référentiel sur Hugging Face, où le malware principal est téléchargé sur l'appareil. Comme Hugging Face est largement connu et utilisé par des développeurs et des chercheurs en IA dans le monde entier, la plate-forme est considérée comme fiable, ce qui ne suscite aucune suspicion chez de nombreux utilisateurs.
« C’est la confiance dans la plate-forme que les attaquants exploitent », a déclaré Bitdefender dans ses conclusions.
Une fois installé, TrustBastion exploite la fonction Accessibility Services d'Android pour prendre le contrôle du périphérique. Le malware est capable d'enregistrer l'écran, de noter chaque frappe de l'utilisateur et d'afficher une fenêtre de connexion fausse qui remplace l'application bancaire originale.
En conséquence, lorsque les utilisateurs saisissent leur nom d’utilisateur et leur mot de passe bancaire, les données tombent directement entre les mains des cybercriminels.
Ce qui rend TrustBastion encore plus dangereux, c’est que l’attaquant applique une technique de polymorphisme côté serveur, c’est-à-dire qu’il crée périodiquement de nouvelles variantes de malware, même environ toutes les 15 minutes. Cette technique rend difficile pour les systèmes de sécurité traditionnels de détecter et de bloquer les menaces.
Cette affaire confirme que les plateformes d’IA, bien qu’elles ne soient pas des boutiques d’applications, sont désormais une nouvelle vérité de propagation du malware. TrustBastion n’est pas non plus le premier incident, et les chercheurs en securité pensent que des méthodes similaires seront continuément utilisées dans le futur.
Les experts en securite rappellent encore une fois qu’il est important de télécharger des applications uniquement depuis des sources autorisées telles que Google Play. Bien que Google Play ne soit pas totalement à l’abri des applications malveillantes, la plate-forme dispose de multiples couches de protection, y compris Google Play Protect, qui analyse routinement les applications pour détecter les comportements suspects.
En revanche, les applications provenant de magasins tiers ou les fichiers APK provenant de sites aléatoires ne disposent généralement pas d'un système de sécurité aussi strict.
Cette menace explique également pourquoi Google a toujours encouragé la restriction du sideloading sur Android. Le sideloading, ou l’installation d’applications en dehors du magasin officiel, contourne l’ensemble des mécanismes de sécurité de Google et ouvre de grandes failles aux attaques de malware.
Bien que le sideloading soit toujours populaire chez les utilisateurs avancés en raison de sa flexibilité, cette pratique comporte des risques élevés. Les experts en sécurité recommandent que si le sideloading est inévitable, les utilisateurs n’installent que des applications provenant de développeurs qui sont vraiment fiables et qui comprennent les risques qui les accompagnent.
L’affaire TrustBastion est un rappel fort que dans l’ère de l’IA, les menaces cybernétiques ne viennent pas seulement d’applications suspectes, mais peuvent également se cacher derrière des plateformes qui étaient jusqu’alors considérées comme sûres.