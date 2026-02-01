Hugging Face este o platformă open-source de găzduire online, utilizată în mod obișnuit pentru stocarea și partajarea modelelor de inteligență artificială și învățare automată, a seturilor de date sau a aplicațiilor. Datorită caracterului său deschis și accesibil oricărui utilizator, platforma a fost exploatată de atacatori pentru a distribui malware, ocolind filtrele de securitate care verifică fișierele încărcate, inclusiv scanarea realizată cu antivirusul ClamAV, conform informațiilor publicate de El Economista.

Situația a fost semnalată de cercetătorii companiei Bitdefender, care au explicat că aceste încărcături malițioase fac parte dintr-o campanie amplă de distribuție de RAT-uri pentru Android. Atacul combină tehnici de inginerie socială cu utilizarea infrastructurii Hugging Face pentru a compromite dispozitivele, exploatând Serviciile de Accesibilitate ale sistemului Android pentru a obține date financiare sensibile. Platforma a fost utilizată pentru a găzdui și distribui mii de variante APK periculoase, conform detaliilor furnizate de compania de securitate cibernetică.

Modul de operare al atacului începe prin inginerie socială. Utilizatorii sunt convinși să descarce o aplicație aparent legitimă, denumită TrustBastion, prin intermediul unor reclame de tip scareware. Aceste reclame sunt concepute pentru a speria utilizatorii, sugerând că dispozitivele lor sunt infectate sau prezintă defecțiuni grave. Aplicația se prezintă drept o soluție gratuită de securitate cibernetică, capabilă să detecteze fraude, mesaje false sau tentative de phishing.

Deși aplicația TrustBastion nu conține inițial funcții periculoase, după instalare aceasta solicită descărcarea unei actualizări obligatorii pentru a putea fi utilizată în continuare. Actualizarea este cerută printr-o pagină falsă care imită magazinul Google Play. În acest punct intervine infrastructura Hugging Face. Actualizarea nu descarcă direct malware-ul, ci se conectează la un server asociat aplicației, trustbastion.com, care redirecționează către un depozit de date găzduit pe Hugging Face, de unde este descărcat conținutul APK malițios.

Încărcătura ce conține troianul este distribuită prin rețeaua CDN a platformei. Pentru a evita detectarea de sistemele Hugging Face, atacatorii generează noi variante de malware aproximativ la fiecare 15 minute, folosind o tehnică numită polimorfism pe server. Aceasta permite reutilizarea codului fără a modifica logica principală, făcând ca fișierele să treacă neobservate de mecanismele de securitate.

Troianul exploatează permisiunile Serviciilor de Accesibilitate, care îi permit să realizeze capturi de ecran, să monitorizeze activitatea utilizatorului și să blocheze încercările de dezinstalare. Malware-ul se prezintă sub forma unei funcții de securitate a telefonului și îi ghidează pe utilizatori să activeze aceste servicii, obținând astfel control extins asupra dispozitivului.

Odată activ, troianul poate filtra informații din aplicațiile financiare și chiar se poate deghiza în servicii precum Alipay sau WeChat pentru a obține codul de blocare al ecranului în timpul autentificării. Datele colectate sunt trimise către atacatori printr-un server centralizat de comandă și control, de unde este coordonată atât distribuția malware-ului, cât și exfiltrarea informațiilor furate.

Bitdefender a precizat că, în momentul cercetării, depozitul malițios de pe Hugging Face avea o vechime de aproximativ 29 de zile și acumulase peste 6.000 de confirmări. În timpul analizei, depozitul a fost eliminat la sfârșitul lunii decembrie, dar a reapărut ulterior sub un nou depozit, asociat unei aplicații Android denumite Premium Club. După finalizarea cercetării, Bitdefender a notificat platforma Hugging Face, iar depozitul respectiv a fost eliminat.