Cercetătorii în securitate cibernetică au descoperit o campanie complexă de distribuire a unui troian de acces la distanță (RAT) pentru Android, denumită TrustBastion, care folosește platforma Hugging Face ca depozit pentru mii de variante malițioase. Conform analizei Bitdefender, depozitul malițios avea aproximativ 29 de zile la momentul examinării și acumulase peste 6.000 de descărcări confirmate; atacatorii generează noi variante la fiecare ~15 minute prin polimorfism server-side pentru a evita detectarea.
Distribuția se face folosind rețeaua CDN a Hugging Face: victima instalează o aplicație promovată prin reclame „scareware”, apoi este direcționată către o „actualizare obligatorie” găzduită pe Hugging Face, unde se descarcă APK-ul malițios. După instalare, aplicația solicită activarea Serviciilor de Accesibilitate Android, prezentându-se drept funcție de „Securitate a Telefonului”.
Odată activat, malware-ul poate monitoriza activitatea, realiza capturi de ecran, bloca dezinstalarea și intercepta date introduse în aplicații financiare; în unele cazuri se deghizează în aplicații de plată (ex.: Alipay, WeChat) pentru a fura coduri de autentificare. Datele sunt exfiltrate către un server centralizat de comandă și control.
Bitdefender a semnalat că depozitul a fost eliminat la sfârșitul lunii decembrie, dar a reapărut ulterior sub o nouă identitate asociată aplicației „Premium Club”, care a fost la rândul ei eliminată după notificare. Specialiștii avertizează că astfel de abuzuri pot reapărea pe infrastructuri legitime.
Recomandări: evitați instalarea din surse necunoscute, nu acordați permisiuni de Accesibilitate aplicațiilor neconfirmate, folosiți soluții antivirus actualizate și verificați sursa descărcărilor înainte de instalare.