Un malware Android se cache sur Hugging Face

Une campagne de malware Android détourne la plateforme Hugging Face pour propager un cheval de Troie puissant.

Selon une enquête menée par Bitdefender, une campagne de piratage Android d’un nouveau genre détourne la plateforme Hugging Face. Loin des clichés habituels, cette nouvelle attaque informatique exploite des outils légitimes pour déjouer la vigilance des utilisateurs et des antivirus. Derrière une application de sécurité fictive, les hackers orchestrent une infection en plusieurs étapes. Cela va jusqu’à prendre le contrôle total des appareils Android.

Une application piégée qui se donne des airs de sécurité

Sous le nom anodin de TrustBastion, une campagne d’espionnage numérique vise les utilisateurs Android à travers une application qui se fait passer pour un outil de sécurité mobile. Son objectif : inciter à l’installation d’une soi-disant mise à jour dès l’ouverture. Elle utilise une interface visuellement proche des notifications officielles d’Android.

Une fois le piège refermé, le véritable téléchargement ne provient pas d’un obscur serveur pirate, mais d’un hébergeur bien connu du monde de l’intelligence artificielle : Hugging Face. Cette plateforme, habituellement utilisée pour partager des modèles open source, a été détournée pour héberger les charges virales. Une stratégie habile, car le trafic vers des domaines de confiance suscite moins de suspicion.

Hugging Face

Le rôle clé de Hugging Face dans la chaîne d’infection

L’analyse de Bitdefender révèle une campagne massive ! Un dépôt hébergé sur Hugging Face aurait reçu plus de 6 000 mises à jour en moins d’un mois. Cela a généré de nouveaux fichiers APK toutes les 15 minutes. Ce rythme effréné est rendu possible par une technique de polymorphisme côté serveur qui vise à contourner les mécanismes de détection basés sur les empreintes numériques.

Chaque fichier distribué présente des variations mineures et converse les fonctionnalités nuisibles : exécution à distance, exfiltration de données, et surveillance active. Même après la fermeture du dépôt initial, les attaquants ont migré le projet vers un autre lien. C’est ce dernier qui maintient la structure du code.

Hugging Face

Une prise de contrôle poussée grâce aux Services d’Accessibilité

Le point central de cette menace repose sur l’abus des Services d’Accessibilité. Une fois les autorisations accordées sous prétexte de sécurité, l’application malveillante peut observer chaque action de l’utilisateur, enregistrer l’écran, ou superposer ses propres interfaces.

Les pirates en profitent pour intercepter des informations sensibles : mots de passe, codes de verrouillage, données bancaires via des faux écrans d’authentification. Ils imitent des services comme Alipay ou WeChat. Tout ce qui est saisi peut être capturé et envoyé au serveur de commande (C2). Ce dernier a été identifié par les chercheurs comme hébergé à l’adresse IP 154.198.48.57.

Article basé sur un communiqué de presse reçu par la rédaction.

ARTICLES SIMILAIRES

Rapport Nozomi : la cybersécurité des transports en alerte rouge

Le secteur des transports est en ligne de mire des cyberattaques. Et face à l’essor

14 juillet 2026

Des documents fuités dévoilent les lunettes IA de nouvelle génération de Meta

Meta se trouve au cœur d’un scandale technologique après la fuite de documents sensibles. Ces

10 juillet 2026

Université Mount Royal victime d’une cyberattaque

L’université Mount Royal de Calgary a subi une cyberattaque qui a perturbé ses systèmes. Des

8 juillet 2026

Nouvelle attaque TrojPix : des données fuitent des systèmes isolés grâce aux émissions des câbles vidéo

Une nouvelle menace vient complexifier la sécurité des systèmes isolés. La technique TrojPix détectée permet

6 juillet 2026

Les dirigeants face au coût réel des cyberattaques

Les dirigeants mesurent désormais le coût immédiat d’une cyberattaque. Pourtant, la cybersécurité reste rarement traitée

6 juillet 2026

Coupe du Monde 2026 : DataDome bloque 19 millions de requêtes

Coupe du Monde 2026 : DataDome affirme avoir bloqué une offensive massive qui vise une

6 juillet 2026