AI platforma Hugging Face zloupotrebljena za širenje novog Android trojanca

Mobilni telefoni, 03.02.2026, 12:00 PM

Kompanija Bitdefender otkrila je novu Android pretnju koja koristi popularnu AI platformu Hugging Face za hostovanje i distribuciju zlonamernog koda.

Prema navodima istraživača, napadači su zloupotrebili infrastrukturu platforme kako bi sakrili i distribuirali malver, oslanjajući se na reputaciju legitimnog servisa da izbegnu sumnju i bezbednosne alarme. Bitdefender kaže da Hugging Face nije sproveo dovoljno rigorozne provere sadržaja koji korisnici otpremaju.

Lanac infekcije započinje kada korisnik preuzme zlonamernu Android aplikaciju pod nazivom TrustBastion. Reč je o scareware aplikaciji koja se nameće korisnicima putem iskačućih poruka u kojima se tvrdi da je uređaj zaražen malverom.

Nakon instalacije, aplikacija odmah traži od korisnika da pokrene „ažuriranje“ kako bi mogla da funkcioniše. Dijalog je dizajniran tako da podseća na zvanične Google Play ili Android sistemske poruke, čime se povećava verovatnoća da će korisnik slediti instrukcije.

U pozadini, aplikacija koja zapravo funkcioniše kao dropper, kontaktira domen trustbastion[.]com, koji umesto APK fajla vraća HTML stranicu sa linkom za preusmeravanja ka repozitorijumu na Hugging Face platformi, gde se nalazi malver.

Korišćenje etabliranog servisa poput Hugging Face-a pomaže napadačima da prikriju sumnjiv saobraćaj, jer se komunikacija sa poznatim domenima ređe označava kao rizična.

Bitdefender navodi da je repozitorijum korišćen u kampanji pokazivao visok nivo aktivnosti — novi payload generisan je približno na svakih 15 minuta. U trenutku analize, projekat je bio star oko 29 dana i imao je više od 6.000 izmena.

Iako je jedan repozitorijum uklonjen nakon prijave, operacija je brzo preusmerena na novi link, uz minimalne izmene poput drugačijih ikonica, ali sa istim osnovnim kodom.

Bitdefender je saopštio da je kontaktirao Hugging Face pre objavljivanja istraživanja i da je platforma brzo reagovala. Ipak, čini se da je kampanja već zarazila hiljade uređaja.

Napadači koriste i polimorfne tehnike, što znači da se svaki novi APK fajl tehnički razlikuje od prethodnog, iako zadržava istu zlonamernu funkcionalnost. Ovaj pristup otežava detekciju zasnovanu na hash vrednostima, ali slični obrasci ponašanja i zahtevi za dozvolama omogućavaju otkrivanje putem bihejvioralne analize.

Nakon instalacije, malver se predstavlja kao funkcija „Phone Security“ i navodi korisnika da omogući Accessibility Services dozvole, čime napadač dobija širok uvid u interakcije na uređaju.

Malver takođe zahteva dozvole za snimanje i deljenje ekrana, kao i prikazivanje slojeva preko drugih aplikacija, što mu omogućava praćenje aktivnosti korisnika i slanje podataka komandno-kontrolnom serveru.

Posebno zabrinjava to što malver imitira popularne finansijske aplikacije poput Alipay-a i WeChat-a kako bi prikupio osetljive podatke za prijavu, uključujući i informacije sa zaključanog ekrana.