Платформа Hugging Face использовалась для хостинга полиморфного трояна, крадущего данные платежных сервисов
Исследователи обнаружили тысячи вариаций вредоноса, которые автоматически генерировались каждые 15 минут. Основным вектором атаки осталась социальная инженерия: пользователей обманом заставляли установить дроппер под видом антивируса.
Специалисты компании Bitdefender выявили вредоносную кампанию, в которой злоумышленники использовали легальную платформу Hugging Face для размещения основного компонента полиморфного трояна, нацеленного на кражу данных финансовых и платежных сервисов. Атака начиналась с социальной инженерии: жертвы получали ложные уведомления о заражении, после чего им предлагалось установить приложение-дроппер TrustBastion, маскирующееся под средство безопасности для обнаружения мошенничества, фишинга и вредоносного ПО.
После установки дроппер запрашивал «обновление», имитируя интерфейс Google Play, и перенаправлял запрос на домен trustbastion[.]com. Тот, в свою очередь, направлял устройство к репозиторию на Hugging Face, откуда через сеть доставки контента (CDN) загружался вредоносный APK-файл. Ключевой особенностью схемы был серверный полиморфизм: новый вариант вредоносного ПО автоматически генерировался каждые 15 минут. На момент обнаружения репозиторию было 29 дней, а количество коммитов достигло 6000.
Как отмечает эксперт по информационной безопасности компании SEQ Никита Павлов, несмотря на использование технологичных методов, основным способом проникновения на устройство остаётся социальная инженерия, а функциональность трояна является типичной для кражи платёжных данных.
После обнаружения и удаления первоначальный репозиторий был восстановлен под новым названием Premium Club с обновлёнными иконками, но прежним вредоносным кодом. Основной компонент трояна пытался получить полный контроль над устройством через службы доступности Android под видом компонента безопасности. В случае успеха он получал возможность перекрывать экран, делать скриншоты, имитировать действия пользователя и блокировать попытки удаления. Вредонос отслеживал активность пользователя, передавая данные операторам, и выводил на экран поддельные интерфейсы платежных систем, таких как Alipay и WeChat, параллельно пытаясь перехватить код разблокировки устройства.
Троянец поддерживал постоянное соединение с командным сервером, с которого загружались дополнительные инструкции, настройки и фишинговые интерфейсы. Bitdefender уведомила администраторов Hugging Face о новом репозитории, после чего он был ликвидирован. Пользователям рекомендуется избегать установки приложений из сторонних источников и не соглашаться на ручную инсталляцию файлов, если их происхождение и назначение не являются полностью понятными.
Как отмечает эксперт по информационной безопасности компании SEQ Никита Павлов, несмотря на использование технологичных методов, основным способом проникновения на устройство остаётся социальная инженерия, а функциональность трояна является типичной для кражи платёжных данных.
После обнаружения и удаления первоначальный репозиторий был восстановлен под новым названием Premium Club с обновлёнными иконками, но прежним вредоносным кодом. Основной компонент трояна пытался получить полный контроль над устройством через службы доступности Android под видом компонента безопасности. В случае успеха он получал возможность перекрывать экран, делать скриншоты, имитировать действия пользователя и блокировать попытки удаления. Вредонос отслеживал активность пользователя, передавая данные операторам, и выводил на экран поддельные интерфейсы платежных систем, таких как Alipay и WeChat, параллельно пытаясь перехватить код разблокировки устройства.
Троянец поддерживал постоянное соединение с командным сервером, с которого загружались дополнительные инструкции, настройки и фишинговые интерфейсы. Bitdefender уведомила администраторов Hugging Face о новом репозитории, после чего он был ликвидирован. Пользователям рекомендуется избегать установки приложений из сторонних источников и не соглашаться на ручную инсталляцию файлов, если их происхождение и назначение не являются полностью понятными.
© 03.02.2026
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025