Bitdefender, empresa mundial en ciberseguridad, ha publicado una nueva investigación sobre una campaña activa de troyano de acceso remoto (RAT) dirigida a usuarios de Android, en la que los ciberdelincuentes utilizan la infraestructura de Hugging Face para alojar y distribuir malware a gran escala.

Hugging Face es una de las principales plataformas y comunidades abiertas de inteligencia artificial, a menudo descrita como el “GitHub del machine learning”.

La campaña combina ingeniería social, falsas notificaciones de actualización, el uso indebido de los Servicios de Accesibilidad de Android y técnicas avanzadas de polimorfismo del lado del servidor. Estas técnicas permiten generar nuevas variantes del malware aproximadamente cada 15 minutos, con el objetivo de evadir los sistemas de detección.

Una vez instalado, el RAT permite comprometer completamente el dispositivo, engañando a los usuarios para que concedan permisos que facilitan la vigilancia en tiempo real, la grabación de la actividad en pantalla, el robo de credenciales y la exfiltración de datos hacia una infraestructura centralizada de comando y control (C2).

El proceso de infección se desarrolla en dos fases: inicialmente se instala una aplicación aparentemente legítima que actúa como dropper y que, posteriormente, descarga un RAT con todas las funcionalidades. Los atacantes también utilizan interfaces falsas de sistemas y aplicaciones financieras para obtener información sensible de las víctimas.