Исследователи Bitdefender выявили новую вредоносную кампанию, нацеленную на пользователей Android. Злоумышленники неожиданно начали использовать платформу Hugging Face — популярный и в целом доверенный хаб для ИИ-моделей и датасетов.

Атака начинается с установки приложения-дроппера под названием TrustBastion, которое распространяется через пугающие scareware-рекламы. Пользователю сообщают, что его смартфон якобы заражён и требует срочной защиты. Приложение маскируется под антивирус и обещает защиту от мошенничества, фишинга, опасных СМС и вредоносного ПО.

Сразу после установки TrustBastion предлагает обязательное «обновление», оформленное под страницу Google Play. На самом деле никакого обновления из магазина нет: приложение обращается к серверу злоумышленников, который перенаправляет запрос на репозиторий Hugging Face, где размещён вредоносный APK. Загрузка идёт через CDN платформы, что снижает риск обнаружения антивирусами.

Bitdefender отмечает использование серверного полиморфизма: каждые 15 минут генерируется новая версия APK. За месяц в репозитории появилось более 6 тысяч коммитов. После удаления набора данных кампания быстро возобновилась под новым названием Premium Club, с другими иконками, но тем же кодом.

Главным компонентом является троян для удалённого доступа, который активно использует службы специальных возможностей Android (Accessibility Services). Приложение запрашивает разрешения под видом «защиты устройства», но на самом деле получает полный контроль: наложение экранов, перехват действий пользователя, создание скриншотов, блокировку удаления приложения и постоянную связь с командным сервером.

Вредонос отслеживает активность пользователя, отправляет данные операторам и подсовывает фальшивые экраны входа для финансовых сервисов, включая Alipay и WeChat. Также злоумышленники пытаются выманить ПИН-код экрана блокировки. Все украденные данные передаются в реальном времени на командный сервер, откуда троян получает новые команды и «контент», создающий иллюзию легитимного приложения.

Bitdefender уведомила Hugging Face, после чего вредоносные датасеты были удалены. Исследователи опубликовали индикаторы компрометации, включая данные о дроппере, сетевой инфраструктуре и APK-файлах:

C2: au-club[.]top / 108.187.7.133

Хеш дроппера: fc874c42ea76dd5f867649cbdf81e39b