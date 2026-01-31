Cercetătorii în securitate cibernetică avertizează asupra unei noi campanii de atacuri informatice care utilizează platforma Hugging Face ca depozit pentru distribuirea a mii de variante de aplicații Android infectate cu troieni de acces la distanță, folosite pentru furtul datelor de autentificare la servicii financiare.

Hugging Face este o platformă online open-source, utilizată în mod obișnuit pentru găzduirea și partajarea de modele de inteligență artificială și învățare automată. Datorită caracterului său deschis și accesibil oricărui utilizator, platforma a fost exploatată de infractori cibernetici pentru a distribui malware, ocolind mecanismele de filtrare existente.

Potrivit Mediafax, problema a fost semnalată de cercetătorii Bitdefender, care au identificat o campanie complexă de distribuție a troienilor RAT pentru Android. Aceasta combină tehnici de inginerie socială cu infrastructura Hugging Face pentru a compromite dispozitive mobile și a fura date financiare, prin abuzarea Serviciilor de Accesibilitate ale Android.

Potrivit Bitdefender, Hugging Face a fost folosit pentru a găzdui și distribui mii de fișiere APK periculoase, generate continuu pentru a evita detectarea. Atacul începe prin convingerea utilizatorilor să descarce o aplicație aparent legitimă, numită TrustBastion, promovată prin reclame de tip „scareware”, care induc panică și sugerează existența unor probleme grave de securitate ale telefonului.

Aplicația se prezintă drept o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false și tentative de phishing. După instalare, utilizatorilor li se solicită descărcarea unei „actualizări obligatorii”, prin intermediul unei pagini false care imită magazinul Google Play.

În această etapă intervine infrastructura Hugging Face. Aplicația se conectează la un server asociat TrustBastion, care redirecționează utilizatorul către un depozit Hugging Face, de unde este descărcată încărcătura malițioasă. Distribuția se face prin rețeaua CDN a platformei, pentru a masca sursa reală a malware-ului.

Pentru a evita detectarea, atacatorii generează noi variante ale aplicației la aproximativ fiecare 15 minute, folosind o tehnică de polimorfism pe server, care permite modificarea constantă a fișierelor fără a altera funcționalitatea principală.

După instalare, începe a doua fază a atacului. Troianul solicită activarea Serviciilor de Accesibilitate Android, prezentându-se drept o funcție de „Securitate a Telefonului”. Odată activat, malware-ul poate monitoriza activitatea utilizatorului, realiza capturi de ecran, bloca dezinstalarea aplicației și intercepta datele introduse în aplicații financiare.

În unele cazuri, troianul se deghizează în aplicații de plată cunoscute, precum Alipay sau WeChat, pentru a obține codul de blocare al ecranului în momentul autentificării. Datele colectate sunt apoi transmise către un server centralizat de comandă și control utilizat pentru coordonarea atacului și exfiltrarea informațiilor.

Bitdefender a precizat că, în momentul analizei, depozitul malițios avea o vechime de aproximativ 29 de zile și acumulase peste 6.000 de descărcări confirmate. Deși depozitul a fost eliminat la sfârșitul lunii decembrie, acesta a reapărut ulterior sub o nouă identitate, asociată unei aplicații Android denumite Premium Club.

În urma notificării transmise de Bitdefender, platforma Hugging Face a eliminat și acest nou depozit, însă specialiștii avertizează că astfel de abuzuri pot reapărea, profitând de infrastructuri legitime și de încrederea utilizatorilor.

