Une campagne de malware Android détourne la plateforme Hugging Face pour propager un cheval de Troie puissant.
Selon une enquête menée par Bitdefender, une campagne de piratage Android d’un nouveau genre détourne la plateforme Hugging Face. Loin des clichés habituels, cette nouvelle attaque informatique exploite des outils légitimes pour déjouer la vigilance des utilisateurs et des antivirus. Derrière une application de sécurité fictive, les hackers orchestrent une infection en plusieurs étapes. Cela va jusqu’à prendre le contrôle total des appareils Android.
Une application piégée qui se donne des airs de sécurité
Sous le nom anodin de TrustBastion, une campagne d’espionnage numérique vise les utilisateurs Android à travers une application qui se fait passer pour un outil de sécurité mobile. Son objectif : inciter à l’installation d’une soi-disant mise à jour dès l’ouverture. Elle utilise une interface visuellement proche des notifications officielles d’Android.
Une fois le piège refermé, le véritable téléchargement ne provient pas d’un obscur serveur pirate, mais d’un hébergeur bien connu du monde de l’intelligence artificielle : Hugging Face. Cette plateforme, habituellement utilisée pour partager des modèles open source, a été détournée pour héberger les charges virales. Une stratégie habile, car le trafic vers des domaines de confiance suscite moins de suspicion.
Le rôle clé de Hugging Face dans la chaîne d’infection
L’analyse de Bitdefender révèle une campagne massive ! Un dépôt hébergé sur Hugging Face aurait reçu plus de 6 000 mises à jour en moins d’un mois. Cela a généré de nouveaux fichiers APK toutes les 15 minutes. Ce rythme effréné est rendu possible par une technique de polymorphisme côté serveur qui vise à contourner les mécanismes de détection basés sur les empreintes numériques.
Chaque fichier distribué présente des variations mineures et converse les fonctionnalités nuisibles : exécution à distance, exfiltration de données, et surveillance active. Même après la fermeture du dépôt initial, les attaquants ont migré le projet vers un autre lien. C’est ce dernier qui maintient la structure du code.
Une prise de contrôle poussée grâce aux Services d’Accessibilité
Le point central de cette menace repose sur l’abus des Services d’Accessibilité. Une fois les autorisations accordées sous prétexte de sécurité, l’application malveillante peut observer chaque action de l’utilisateur, enregistrer l’écran, ou superposer ses propres interfaces.
Les pirates en profitent pour intercepter des informations sensibles : mots de passe, codes de verrouillage, données bancaires via des faux écrans d’authentification. Ils imitent des services comme Alipay ou WeChat. Tout ce qui est saisi peut être capturé et envoyé au serveur de commande (C2). Ce dernier a été identifié par les chercheurs comme hébergé à l’adresse IP 154.198.48.57.
Article basé sur un communiqué de presse reçu par la rédaction.
