Атака на Android через платформу Hugging Face: Злоумышленники используют доверенные сервисы для распространения шпионских программ

Особенностью этой кампании стало размещение вредоносных нагрузок (payload) на платформе Hugging Face, широко используемом хостинге для моделей машинного обучения и наборов данных. Платформа не имеет строгих фильтров для загружаемого контента, полагаясь лишь на сканирование антивирусным движком ClamAV, что делает её привлекательной для киберпреступников. Атакующие генерируют новые варианты вредоносных APK-файлов примерно каждые 15 минут, используя серверный полиморфизм для уклонения от сигнатурных методов обнаружения.

Цепочка заражения начинается с распространения дроппера (dropper) - приложения-носителя, маскирующегося под систему безопасности под названием TrustBastion. Пользователям демонстрируется реклама или уведомление, утверждающее, что устройство заражено, и предлагающее установить бесплатное защитное решение. После ручной установки приложение немедленно запрашивает обновление, имитируя диалоговые окна Google Play или системы Android, чтобы обмануть жертву.

Ключевой этап - получение основной вредоносной нагрузки. Вместо прямого скачивания с контролируемого злоумышленниками домена дроппер обращается к зашифрованному endpoint на сайте trustbastion[.]com. Сервер возвращает HTML-страницу с ссылкой для перенаправления на репозиторий в Hugging Face, откуда и загружается финальный APK-файл. Этот метод позволяет использовать доверие к легитимному домену и обходить простые фильтры, блокирующие трафик с подозрительных источников.

Анализ репозитория на Hugging Face показал высокую активность. За 29 дней наблюдений было зафиксировано более 6000 коммитов, что соответствует постоянному обновлению вредоносных файлов. Несмотря на полиморфизм, все образцы демонстрируют схожие модели поведения, запрашивают одинаковые разрешения и имеют общие шаблоны коммуникации, что позволяет средствам защиты, таким как Bitdefender Mobile Security для Android, эффективно их обнаруживать на основе поведенческого анализа.

После установки основной нагрузки троянец под видом системного компонента «Безопасность телефона» запрашивает у пользователя доступ к службам специальных возможностей. Получив его, вредоносная программа получает беспрецедентный уровень контроля. Она может отслеживать все действия пользователя, записывать экран, отображать поверх других окон и перехватывать ввод. Дополнительно троянец внедряет фишинговые интерфейсы, имитирующие популярные финансовые сервисы, такие как Alipay и WeChat, для кражи учетных данных и информации с экрана блокировки.

Вся собранная информация передаётся на централизованный командный сервер (Command-and-Control, C2), который также координирует доставку обновлений и новых конфигураций. Во время расследования C2-сервер работал по IP-адресу 154.198.48.57 через порт 5000. Интересно, что после того, как первоначальный репозиторий TrustBastion был закрыт в конце декабря 2025 года, кампания почти мгновенно возобновилась под новым именем «Premium Club». Новое приложение использует тот же базовый код, что демонстрирует стремление злоумышленников к максимальной скрытности и устойчивости.

Эта кампания наглядно показывает эволюцию тактик угроз для мобильных устройств. Злоумышленники всё чаще используют легитимные облачные платформы для размещения вредоносного кода и сложные методы социальной инженерии для обхода внимания пользователей. Эксперты подчёркивают важность установки приложений только из официальных магазинов, критической оценки запросов на подозрительные разрешения и использования современных решений для мобильной безопасности, способных анализировать поведение приложений, а не только полагаться на сигнатурный анализ.

IPv4

• 108.187.7.133
• 154.198.48.57

Domains

• au-club.top
• trustbastion.com

MD5

• 15bdc66aca9fb7290165d460e6a993a9
• b716a8a742fec3084b0f497abbfecfc0
• d184d705189e42b54c6243a55d6c9502
• d8b0fd515d860be2969cf441ea3b620d
• fc874c42ea76dd5f867649cbdf81e39b