Bitdefender: Hugging Face verteilt Android-Trojaner TrustBastion

Eine raffinierte Cyber-Kampagne nutzt die legitime Infrastruktur der KI-Plattform Hugging Face, um einen gefährlichen Android-Trojaner zu verbreiten. Sicherheitsforscher von Bitdefender deckten die Attacke auf. Die als Sicherheits-App getarnte Malware „TrustBastion“ verschafft sich weitreichenden Zugriff, um Finanzdaten zu stehlen.

Zweistufiger Angriff überlegt Nutzer

Die Infektion beginnt mit der App „TrustBastion“. Sie tarnt sich als Sicherheitswerkzeug und lockt Nutzer mit Warnungen vor angeblichen Infektionen. Nach der Installation fordert sie ein dringendes Update an. Dieses Update ist der eigentliche Trojaner.

Statt es direkt zu liefern, leitet die App auf ein Repository der populären Hugging-Face-Plattform weiter. Von dort lädt sie die schädliche APK-Datei nach. Diese Tarnung hinter legitimen Datenverkehr erschwert die Erkennung durch Sicherheitssoftware erheblich.

Viele Angriffe beginnen mit vermeintlich nützlichen Sicherheits‑Apps, die per Update schädliche APKs nachladen – genau wie im aktuellen TrustBastion‑Fall. Ein kostenloses E‑Book erklärt, wie Unternehmen und IT‑Verantwortliche aktuelle Cyber‑Security‑Bedrohungen erkennen, einfache Schutzmaßnahmen umsetzen und die Ausbreitung von Schadsoftware stoppen können. Praktische Checklisten helfen beim Sofortschutz gegen RATs, Overlay‑Angriffe und missbräuchliche Cloud‑Repositories. Es zeigt unkomplizierte Maßnahmen, die Sie sofort umsetzen können, auch ohne große IT‑Ressourcen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Hugging Face als unfreiwilliger Komplize

Der Missbrauch von Hugging Face ist das Kernstück der Tarnung. Die Plattform für KI-Modelle genießt hohes Vertrauen. Indem die Angreifer ihr Content Delivery Network (CDN) nutzen, mischen sie ihre Malware unter Millionen legitime Datei-Downloads.

Um eine Entdeckung zu verhindern, setzen die Kriminellen auf serverseitigen Polymorphismus:
* Alle 15 Minuten generiert ihr Server eine leicht veränderte Variante der Schadsoftware.
* Ein einziges Repository produzierte so in 29 Tagen über 6.000 einzigartige Versionen.
* Herkömmliche, signaturbasierte Virenscanner werden damit nahezu wirkungslos.

So agiert der Remote Access Trojaner

Einmal installiert, entfaltet „TrustBastion“ seine volle Schadwirkung als Remote Access Trojaner (RAT). Die Malware fordert aggressive Berechtigungen und kapert besonders die Android-Bedienungshilfen (Accessibility Services).

Diese eigentlich für Barrierefreiheit gedachten Dienste nutzt der Trojaner für:
* Die Aufzeichnung des Bildschirminhalts.
* Das Protokollieren aller Tastatureingaben (Keylogging).
* Overlay-Angriffe auf Banking-Apps wie Alipay oder WeChat.

Bei einem Overlay-Angriff legt der Trojaner ein gefälschtes Login-Fenster über die echte App. Gibt der Nutzer dort seine Daten ein, landen sie direkt auf den Servern der Angreifer. So erbeuten sie Passwörter, PINs und sogar Bildschirmsperrinformationen.

KI-Plattformen im Fokus der Kriminellen

Der Fall zeigt einen klaren Trend: Cyberkriminelle missbrauchen zunehmend vertrauenswürdige Cloud- und Entwicklerdienste. Hugging Face scannt Uploads zwar mit dem Open-Source-Tool ClamAV, doch das reichte hier nicht aus. Experten warnen seit längerem vor tausenden potenziell bösartigen Dateien auf der Plattform.

Für Nutzer bleibt die wichtigste Regel: Apps nur aus dem offiziellen Google Play Store laden. Skepsis ist angebracht, wenn eine App sofort ein Update außerhalb des Stores fordert oder ungewöhnlich weitreichende Berechtigkeiten – besonders für Bedienungshilfen – verlangt. Die wachsende KI-Infrastruktur wird auch künftig ein attraktives Ziel für solche Angriffe bleiben.

PS: Hacker nutzen nicht nur Phishing‑Mails, sondern auch vertrauenswürdige Plattformen und polymorphe Malware, um Bankdaten zu stehlen. Der kostenlose Leitfaden fasst aktuelle Bedrohungen zusammen, nennt Sofortmaßnahmen für mobile Geräte und erklärt, wie Sie Ihr Unternehmen oder Ihr Smartphone besser schützen können. Mit Checklisten, Praxis‑Tipps und einer Prioritätenliste für Sofortmaßnahmen sind Sie schnell handlungsfähig. Gratis Cyber-Security-Guide anfordern