TrustBastion: Android-Malware nutzt KI-Plattform Hugging Face

Eine hochgefährliche Android-Schadsoftware tarnt sich als Sicherheits-App und verteilt sich über die vertrauenswürdige KI-Plattform Hugging Face. Der als TrustBastion bekannte Remote-Access-Trojaner zielt auf Finanzdaten ab und zeigt, wie Cyberkriminelle zunehmend legitime Cloud-Dienste missbrauchen.

Infektion über gefälschte Sicherheits-Warnungen

Der Angriff beginnt mit klassischem Social Engineering. Opfer werden durch aggressive Werbung in die Falle gelockt, die vor einem angeblichen Virus warnt. Als Lösung wird die angebliche Sicherheits-App TrustBastion angeboten. Nach der Installation simuliert die App eine Systemaktualisierung von Google Play. Bestätigt der Nutzer diese, startet der eigentliche Schadcode.

Statt eines Updates lädt die App den finalen Trojaner von einem Datensatz-Repository auf der Infrastruktur von Hugging Face herunter. Dieser Trick ist tückisch: Der bösartige Datenverkehr verschmilzt mit dem legitimen Traffic einer angesehenen KI- und Entwicklerplattform. Herkömmliche Netzwerksicherheitstools haben so kaum eine Chance, die Bedrohung zu erkennen.

Passend zum Thema Cyber-Bedrohungen: 73 % der deutschen Unternehmen sind laut Experten schlecht auf Angriffe vorbereitet — gerade wenn Schadcode über vermeintlich harmlose Plattformen verteilt wird. Unser kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, zeigt einfache Schutzmaßnahmen und welche Kontrollen sofort wirken, auch ohne großes Budget. Enthalten sind Checklisten für Sofortmaßnahmen und Vorlagen zur Risikoanalyse. Ideal für IT‑Verantwortliche und Geschäftsführer, die schnell Risiken mindern wollen. Gratis Cyber-Security-E-Book herunterladen

Tausende Varianten überwältigen Virenscanner

Das Besondere an dieser Kampagne ist die aggressive server-seitige Polymorphie. Die Angreifer haben die Erstellung neuer Schadsoftware-Varianten automatisiert und auf Hugging Face hochgeladen – in atemberaubendem Tempo.

Laut Analysen von Bitdefender generierten die Kriminellen alle 15 Minuten eine neue Variante des Trojaners. In einem Fall sammelte sich in einem bösartigen Repository binnen eines Monats über 6.000 einzigartige APK-Dateien an. Jede Variante weist minimale Code-Änderungen auf, die ihren digitalen Fingerabdruck verändern. Für signaturbasierte Antivirenprogramme erscheint jede neue Version als unbekannte Bedrohung, obwohl die schädliche Kernfunktionalität identisch bleibt.

Vollzugriff auf das Smartphone

Der finale Schadcode ist ein mächtiger Remote-Access-Trojaner. Nach der Installation erschleicht er sich umfangreiche Berechtigungen, indem er den Android-Barrierefreiheitsdienst (Accessibility Services) missbraucht – eine gängige Taktik moderner Mobil-Malware.

Mit diesen Rechten erlangen die Angreifer fast vollständige Kontrolle. Der Trojaner kann den Bildschirm abfangen, Aktivitäten aufzeichnen und Overlay-Angriffe starten. Dabei legt er gefälschte Login-Masken über legitime Apps, um Zugangsdaten abzugreifen. Die Kampagne zielt besonders auf Nutzer im asiatisch-pazifischen Raum ab, mit speziellen Overlays für Finanzdienste wie Alipay und WeChat. Alles Erbeutete wird an einen zentralen Command-and-Control-Server gesendet.

KI-Plattformen als neues Schlachtfeld

Der Missbrauch von Plattformen wie Hugging Face markiert eine gefährliche Entwicklung. Cyberkriminelle nutzen zunehmend seriöse Cloud- und Entwicklerdienste, um ihre Schadsoftware zu hosten. Diese „Living-off-the-Land“‑Taktik erschwert die Abwehr enorm. Ein generelles Blockieren des Datenverkehrs zu Hugging Face wäre keine Lösung, da dies legitime Forschungs- und Entwicklungsarbeit lahmlegen würde.

Berichten zufolge versagten die Standard-Sicherheitsscans von Hugging Face, die auf der Open-Source-Antiviren-Engine ClamAV basieren. Das offenbart eine potenzielle Lücke in der Inhaltsmoderation von Plattformen, die nutzergenerierten Code in großem Maßstab hosten. Je zentraler KI-Plattformen für die Softwareentwicklung werden, desto attraktiver werden sie auch für Supply-Chain-Angriffe.

Schutz bleibt in Nutzerhand

Die TrustBastion-Kampagne zeigt den Trend zu immer raffinierterer Mobil-Malware. Experten erwarten, dass Angreifer diese Techniken weiter verfeinern werden. Plattformen müssen möglicherweise strengere, verhaltensbasierte Sicherheitschecks für hochgeladene Inhalte einführen.

Für Android-Nutzer bleibt Wachsamkeit der beste Schutz. Apps sollten ausschließlich aus dem offiziellen Google Play Store bezogen werden. Unerwünschte Werbung oder Pop-ups, die eine Infektion behaupten, sind mit größter Skepsis zu betrachten. Besonders kritisch sind Berechtigungsanfragen für Barrierefreiheitsdienste, die einer App nahezu vollständige Kontrolle geben. Regelmäßige Sicherheitsupdates des Betriebssystems schließen zudem bekannte Schwachstellen.

PS: IT‑Sicherheit lässt sich oft ohne teure Neueinstellungen deutlich verbessern. Dieser kostenlose Leitfaden zeigt praxisnahe Maßnahmen, wie Sie Ihre Android‑Nutzer schützen, Phishing‑Angriffe erkennen und Cloud‑Services sicher konfigurieren – mit konkreten Checklisten für sofortiges Handeln. Plus: Praxisbeispiele, Priorisierungsempfehlungen und einfache Schritte, die auch kleine IT‑Teams sofort umsetzen können. Perfekt für Unternehmen, die ressourcenschonend ihre Abwehr stärken wollen. Jetzt kostenlosen IT-Security-Report sichern