Une campagne Android documentée par Bitdefender révèle une chaîne d’infection rodée, mêlant ingénierie sociale, polymorphisme serveur et abus d’infrastructures légitimes. En s’appuyant sur Hugging Face pour héberger ses charges utiles, l’opération parvient à déployer des milliers de variantes de malwares tout en restant sous les radars.
Une infection pensée pour inspirer confiance
Le point d’entrée repose sur une application Android baptisée TrustBastion. Présentée comme une solution de sécurité gratuite capable de détecter arnaques, SMS frauduleux, phishing et malwares, elle se diffuse via des messages alarmistes incitant à protéger un téléphone prétendument compromis. Une fois installée manuellement, l’application ne révèle aucune fonctionnalité dangereuse immédiate : elle agit comme un simple dropper.
Très rapidement, l’utilisateur est confronté à une demande de mise à jour indispensable pour continuer à utiliser le service. Les visuels imitent fidèlement les dialogues de mise à jour Google Play et Android, un choix qui maximise l’adhésion et limite la méfiance.
Hugging Face comme relais de diffusion
La particularité de la campagne se joue au moment du téléchargement de la charge malveillante. Plutôt que d’héberger directement un APK depuis une infrastructure suspecte, le dropper contacte un point d’accès chiffré lié à trustbastion[.]com. Le serveur ne renvoie pas le fichier, mais une page HTML contenant une redirection vers un dépôt Hugging Face, où l’APK final est hébergé.
Cette approche permet de tirer parti de la réputation d’une plateforme largement utilisée par la communauté du machine learning. Les flux issus de domaines de confiance sont moins susceptibles d’être bloqués, et la distribution des charges malveillantes s’en trouve facilitée.
Polymorphisme serveur et industrialisation
L’analyse des dépôts utilisés montre un rythme de génération particulièrement soutenu : de nouveaux APK sont produits environ toutes les quinze minutes. En moins d’un mois, plus de six mille commits ont été observés. Chaque fichier correspond à une version légèrement modifiée du même malware, suffisante pour contourner les détections basées sur les signatures.
Lorsque le dépôt initial disparaît, l’opération se reconfigure rapidement sous une autre identité, avec de nouveaux icônes et un nom d’application différent, Premium Club, tout en conservant le même socle de code. Cette capacité à pivoter rapidement souligne une logique industrielle assumée.
Accessibilité détournée et surveillance complète
Une fois la charge installée, le RAT se fait passer pour un composant système de type « Phone Security » et guide l’utilisateur pour activer les services d’accessibilité. La demande est présentée comme une étape normale de vérification ou de protection. Une fois accordée, cette permission offre une visibilité étendue sur toutes les interactions de l’appareil.
Le malware complète cet accès par des autorisations de capture d’écran, d’enregistrement et de superposition d’interface. Il peut alors observer, enregistrer et manipuler le contenu affiché en temps réel. Des interfaces d’authentification frauduleuses imitant des services financiers populaires, comme Alipay ou WeChat, sont utilisées pour siphonner identifiants et informations de verrouillage d’écran.
Un C2 centralisé pour piloter l’ensemble
L’ensemble de l’opération est orchestré par une infrastructure de commande et contrôle unique. Le serveur, identifié lors de l’analyse, assure à la fois la livraison des charges, la redirection vers les liens Hugging Face et l’exfiltration des données collectées. Des connexions persistantes maintiennent le lien avec les appareils compromis, permettant l’envoi de commandes et la mise à jour des configurations.
Alertée avant publication, la plateforme Hugging Face a procédé au retrait des dépôts malveillants identifiés. La campagne, toutefois, illustre la capacité d’attaquants à exploiter des services légitimes pour déployer des malwares Android sophistiqués, à un rythme et à une échelle rarement observés jusqu’ici.
