Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

TrustBastion: Android-RAT использует Hugging Face для доставки полезной нагрузки

3 мин
Исследователи компании Bitdefender выявили масштабную вредоносную кампанию, в рамках которой злоумышленники распространяют Android‑троян удалённого доступа (RAT) под именем TrustBastion. Атака сочетает социальную инженерию с хитрым использованием легальной платформы Hugging Face для доставки полезной нагрузки, что позволяет злоумышленникам снижать риск обнаружения и дольше оставаться незамеченными. Первичное заражение происходит через обманчивую рекламу и фальшивые уведомления, убеждающие пользователя в том, что устройство «инфицировано». Жертве предлагают установить приложение, маскирующееся под платформу безопасности — часто под названием «Безопасность телефона» или аналогичным. В ходе установки пользователя просят активировать службы специальных возможностей (accessibility services) — распространённая тактика у мобильного вредоносного ПО для получения широких прав без явного согласия. Ключевая особенность кампании — использование платформы Hugging Face для хостинга и доставки полезн
Оглавление

Исследователи компании Bitdefender выявили масштабную вредоносную кампанию, в рамках которой злоумышленники распространяют Android‑троян удалённого доступа (RAT) под именем TrustBastion. Атака сочетает социальную инженерию с хитрым использованием легальной платформы Hugging Face для доставки полезной нагрузки, что позволяет злоумышленникам снижать риск обнаружения и дольше оставаться незамеченными.

Суть атаки

Первичное заражение происходит через обманчивую рекламу и фальшивые уведомления, убеждающие пользователя в том, что устройство «инфицировано». Жертве предлагают установить приложение, маскирующееся под платформу безопасности — часто под названием «Безопасность телефона» или аналогичным. В ходе установки пользователя просят активировать службы специальных возможностей (accessibility services) — распространённая тактика у мобильного вредоносного ПО для получения широких прав без явного согласия.

Механизм доставки через Hugging Face

Ключевая особенность кампании — использование платформы Hugging Face для хостинга и доставки полезной нагрузки. Поскольку Hugging Face является легитимной и доверенной площадкой, трафик, направляемый через её домены, с меньшей вероятностью будет блокироваться или помечаться как вредоносный. Это позволяет злоумышленникам создавать видимость легитимности и обходить механизмы, ориентированные на низко‑репутационные домены.

Технические детали и масштабы

Bitdefender зафиксировал высокие темпы обновления и генерации полезной нагрузки: злоумышленники регулярно создавали новые варианты. Как отмечается в отчёте,

«Злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.»

Исследование также выявило конкретные индикаторы инфраструктуры:

  • Постоянное соединение с IP‑адресом: 154.198.48.57;
  • Домен, связанный с кампанией: trustbastion.com, работающий через порт 5000;
  • Появление дополнительного приложения Premium Club, использующего тот же базовый код, что и первоначальный троян — стратегия маскировки и длительного присутствия.

Возможности RAT и угрозы для пользователей

После получения расширенных прав через службы специальных возможностей TrustBastion превращается в мощный инструмент наблюдения и компрометации:

  • Отслеживание действий пользователя и сбор телеметрии;
  • Захват содержимого экрана и вводимых данных;
  • Передача собранных данных на сервер управления (C2);
  • Поддержание постоянного канала связи с C2 для получения команд и обновлений.

Почему это важно

Использование легальной платформы для доставки вредоносного кода демонстрирует эволюцию тактик злоумышленников: сочетание социальной инженерии, автоматизированной генерации полезной нагрузки и эксплуатации доверенных сервисов усложняет защиту и выявление атак. Массовое создание вариантов затрудняет работу сигнатурных детекторов и ускоряет распространение вредоносного ПО.

Рекомендации для пользователей и организаций

  • Не устанавливайте приложения по ссылкам из сомнительной рекламы и всплывающих уведомлений, особенно если они утверждают о «вирусах» или «проблемах» на устройстве.
  • Проверяйте источник приложения: используйте официальные магазины и проверяйте репутацию разработчика.
  • Ограничивайте использование служб специальных возможностей — предоставляйте такие права только проверенным приложениям и при необходимости;
  • Регулярно обновляйте ОС и приложения, используйте мобильные решения безопасности с поведенческим анализом;
  • Организациям: мониторьте исходящие соединения и блокируйте IOC (например, IP 154.198.48.57 и домен trustbastion.com) на уровне сети, при необходимости — сообщайте о злоумышленниках в соответствующие CERT/управляющие структуры;
  • При подозрении на компрометацию — отключите устройство от сети, удалите сомнительные приложения и проведите полную проверку с помощью антивирусных средств.

Вывод

Кампания с использованием TrustBastion подчёркивает, что злоумышленники всё активнее прибегают к комбинации социальной инженерии и злоупотребления доверенными платформами, такими как Hugging Face, чтобы скрывать свою активность. Бдительность пользователей и проактивные меры безопасности на уровне устройств и сети — ключевой фактор в предотвращении подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TrustBastion: Android-RAT использует Hugging Face для доставки полезной нагрузки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются