Onderzoekers van Bitdefender hebben een grootschalige Android-campagne blootgelegd waarbij een remote access trojan wordt verspreid via infrastructuur van Hugging Face.
De aanvallers combineren social engineering met misbruik van legitieme cloudhosting om schadelijke APK-bestanden te distribueren. Daarbij maken ze intensief gebruik van Android Accessibility Services om diepgaande controle over geïnfecteerde toestellen te verkrijgen.
De infectieketen start met een ogenschijnlijk onschuldige Android-app onder de naam TrustBastion. Via advertenties en alarmerende meldingen worden gebruikers overtuigd dat hun toestel besmet is en dringend beveiligd moet worden. De app presenteert zich als een gratis beveiligingsoplossing die onder meer phishing, frauduleuze sms-berichten en malware zou detecteren. In werkelijkheid bevat de applicatie geen beveiligingsfunctionaliteit, maar fungeert zij uitsluitend als dropper voor de volgende infectiestap.
Direct na installatie krijgt de gebruiker een verplichte update voorgeschoteld. Het bijbehorende scherm bootst het uiterlijk van Google Play en Android-systeemupdates nauwkeurig na, wat de geloofwaardigheid vergroot. Wanneer de gebruiker akkoord gaat, neemt de app contact op met een server die geen malware levert, maar een doorverwijzing terugstuurt naar een datasetrepository op Hugging Face. Vanaf daar wordt de uiteindelijke kwaadaardige APK gedownload via de infrastructuur en CDN van het platform.
Volgens Bitdefender is deze aanpak bewust gekozen om detectie te vermijden. Verkeer vanaf bekende en veelgebruikte platforms wordt minder snel geblokkeerd dan downloads vanaf verdachte domeinen. Analyse van de gebruikte repository laat zien dat de aanvallers op grote schaal server-side polymorfisme toepassen. Nieuwe varianten van de payload werden ongeveer elke vijftien minuten gegenereerd, waardoor in minder dan een maand meer dan 6.000 verschillende APK-bestanden ontstonden. Elke variant bevat dezelfde functionaliteit, maar kleine technische wijzigingen moeten hash-gebaseerde detectie omzeilen.
Malware doet zich voor als systeemcomponent
Nadat de tweede fase is geïnstalleerd, doet de malware zich voor als een systeem- of beveiligingscomponent. Gebruikers worden stap voor stap overtuigd om Accessibility Services in te schakelen, zogenaamd om beveiligingsredenen. Met deze rechten krijgt de malware vrijwel volledige zichtbaarheid op en controle over het toestel. Daarnaast vraagt zij permissies voor overlays, schermopnames en schermcasting, waardoor interacties realtime kunnen worden gevolgd en gemanipuleerd.
Met deze privileges functioneert de trojan als een volwaardige remote access tool. Gebruikersactiviteiten worden gemonitord en vastgelegd, waarna de gegevens worden doorgestuurd naar een command-and-controlserver. De malware toont ook valse inlogschermen die populaire betaal- en financiële diensten imiteren, waaronder Alipay en WeChat, om inloggegevens en pincode-invoer te onderscheppen. Ook lockscreen-informatie kan worden buitgemaakt.
De command-and-controlinfrastructuur blijft continu actief en wordt gebruikt voor data-exfiltratie, het versturen van opdrachten en het laden van aanvullende content die de app een legitiem uiterlijk moet geven. Volgens BleepingComputer dook de campagne na het offline halen van de oorspronkelijke repository opnieuw op onder de naam Premium Club, met andere iconen maar grotendeels identieke code.
Hugging Face werd door Bitdefender op de hoogte gebracht en verwijderde de betrokken datasets. De campagne laat zien hoe vertrouwde ontwikkelplatformen steeds vaker worden misbruikt als distributiekanaal voor malware en benadrukt het belang van gedragsanalyse boven traditionele detectiemethoden.