Eine von Bitdefender dokumentierte Kampagne zeigt, wie Cyberkriminelle die KI-Plattform Hugging Face als scheinbar legitime Infrastruktur zur Verteilung von Android-Malware missbrauchen. Kern der Attacke ist ein als Sicherheits-App getarnter Trojaner namens TrustBastion, der Zugangsdaten zu Banking‑ und Payment-Diensten abgreift und den kompromittierten Geräten über einen Android Remote Access Trojan (RAT) nahezu Vollzugriff entzieht.
Hugging Face als Infrastruktur für mobile Malware
Hugging Face hat sich als zentrale Plattform für KI-Modelle, Datensätze und Machine-Learning-Tools etabliert. Die Dienste werden von Unternehmen, Forschungseinrichtungen und Entwicklern weltweit genutzt und genießen deshalb einen hohen Vertrauensstatus – sowohl bei Anwendern als auch bei vielen Sicherheits- und Filterlösungen.
Genau dieses Vertrauen wird nun ausgenutzt. Bereits zuvor wurden vereinzelte Fälle bekannt, in denen auf Hugging Face manipulierte Modelle und Datensätze abgelegt wurden. Die nun beobachtete Kampagne markiert jedoch eine neue Stufe: Die Plattform wird nicht nur in der KI-Lieferkette angegriffen, sondern dient direkt als Distributionskanal für Android-Malware, inklusive Nutzung des Content Delivery Network (CDN) von Hugging Face. Dadurch ähnelt der Datenverkehr legitimen KI-Downloads und entzieht sich einfachen Domain- oder IP-Blocklisten.
Angriffsszenario: TrustBastion tarnt sich als mobiler Virenschutz
Die Kampagne startet mit klassischer Social Engineering. Nutzer werden dazu gebracht, die vermeintliche Sicherheits-App TrustBastion zu installieren – etwa über Websites, Werbebanner oder Messaging-Kanäle. Das Programm wird als Antivirus- oder Schutzlösung beworben und wirkt auf den ersten Blick legitim.
Nach der Installation zeigt TrustBastion aggressive Warnmeldungen über angebliche Infektionen und fordert die Nutzer zu „Sicherheitsupdates“ auf. Diese Hinweise sind gefälscht, aber psychologisch wirksam: Viele Anwender sind bereit, zusätzliche Schritte zu akzeptieren, wenn ihnen akute Gefahr für ihre Daten signalisiert wird.
Ein zentrales Element ist ein gefälschtes Update-Fenster im Design von Google Play. Während der Nutzer glaubt, ein reguläres Update auszuführen, kontaktiert der Dropper den Domainnamen trustbastion[.]com. Von dort wird die Anfrage an ein auf Hugging Face gehostetes Repository umgeleitet, aus dem der eigentliche schädliche APK-Payload über die Infrastruktur und das CDN von Hugging Face nachgeladen wird.
Automatisierte Payload-Rotation erschwert Malware-Erkennung
Eine Besonderheit der Kampagne ist die hochdynamische Generierung neuer Malware-Varianten. Laut Bitdefender wird der bösartige Payload etwa alle 15 Minuten neu erstellt und in das Hugging-Face-Repository eingespielt. Im analysierten Zeitraum von 29 Tagen wurden über 6000 Commits beobachtet, was klar auf einen vollständig automatisierten Build- und Upload-Prozess schließen lässt.
Für klassische Sicherheitslösungen ist diese Taktik problematisch. Signaturbasierte Erkennung und Hash-Listen veralten innerhalb kürzester Zeit, da jede neue Version geringfügige Unterschiede aufweist. Auch statische Analysen werden erschwert, weil eine große Anzahl leicht variierender APKs vorliegt. Diese Technik ist Teil eines breiten Trends: Mehrere Branchenberichte – u. a. von großen AV-Herstellern und Cloud-Anbietern – zeigen, dass Malware-Automatismen und CI/CD-Pipelines zunehmend professionell eingesetzt werden, um Erkennungssysteme zu unterlaufen.
Android-RAT nutzt Accessibility Services zum Diebstahl von Finanzdaten
Vollzugriff auf das Gerät durch Missbrauch von Barrierefreiheitsfunktionen
Der über Hugging Face geladene Payload ist ein Android Remote Access Trojan (RAT). Solche RATs ermöglichen es Angreifern, mobile Geräte aus der Ferne zu steuern, Bildschirminhalte mitzulesen und Interaktionen zu manipulieren. Im vorliegenden Fall basiert die Kontrolle maßgeblich auf dem Missbrauch der Android Accessibility Services.
Accessibility Services sind ursprünglich dazu gedacht, Menschen mit Einschränkungen zu unterstützen – etwa durch Vorlesen von Bildschirminhalten oder Automatisierung bestimmter Eingaben. TrustBastion fordert diese weitreichenden Rechte mit der Begründung an, die Sicherheit zu erhöhen oder Schutzfunktionen zu verbessern. Für technisch weniger versierte Nutzer wirkt dies plausibel.
Sobald der Trojaner Zugriff auf Accessibility Services hat, kann er unter anderem:
- Overlays über legitime Apps legen und Anmeldebildschirme manipulieren,
- Bildschirminhalte auslesen und fortlaufend Screenshots erstellen,
- Eingaben simulieren (Tippen, Wischen) und so eigenständig Aktionen ausführen,
- das Deinstallieren der App oder das Entziehen von Rechten aktiv blockieren,
- Anmeldevorgänge in Banking- und Payment-Apps gezielt ausspähen und ersetzen.
Besondere Aufmerksamkeit gilt laut Analyse den Bildschirmen zur Gerätesperre sowie Login-Masken populärer Bezahldienste wie Alipay und WeChat Pay. Dadurch gelangen PINs, Passwörter und weitere Authentifizierungsdaten direkt an den Command-and-Control-Server (C2) der Angreifer.
Persistente C2-Kommunikation und flexible Angriffsanpassung
Der Trojaner hält eine dauerhafte, bidirektionale Verbindung zu seinem C2-Backend. Darüber senden die Angreifer Befehle, ändern Konfigurationen, aktualisieren Overlays und erhalten kontinuierlich gestohlene Informationen. Das Erscheinungsbild von TrustBastion kann so dynamisch angepasst werden, um stets glaubwürdig zu wirken und auf neue Sicherheitsmaßnahmen der Opfer zu reagieren.
Reaktion von Hugging Face und Konsequenzen für die Security-Strategie
Nach der Meldung durch Bitdefender entfernte Hugging Face die betroffenen Repositories und Datensätze. Der Vorfall reiht sich jedoch in einen klaren Trend ein: Missbrauch vertrauenswürdiger Cloud-, DevOps- und KI-Plattformen als Transportweg für Malware. Ähnliche Muster sind in den vergangenen Jahren auch bei GitHub, gängigen Cloud-Speichern und Paste-Diensten beobachtet worden.
Für Unternehmen bedeutet dies, dass Allowlists von „vertrauenswürdigen“ Domains allein nicht mehr ausreichen. Stattdessen sind verhaltensbasierte Analysen und eine tiefere Inspektion von Android-Apps und Netzwerkverkehr notwendig. Moderne EDR- und Mobile-Threat-Defense-Lösungen setzen daher verstärkt auf Verhaltensindikatoren (z. B. ungewöhnliche Nutzung von Accessibility Services, häufige Verbindungen zu unbekannten C2-Endpunkten), statt ausschließlich auf Signaturen.
Android-Nutzern ist zu empfehlen, Apps ausschließlich aus offiziellen Stores wie Google Play oder vertrauenswürdigen Hersteller-Stores zu beziehen, „Antiviren-“ oder „Optimierungs“-Apps mit aggressiven Berechtigungsanforderungen konsequent zu meiden, Berechtigungen – insbesondere Accessibility – regelmäßig zu prüfen und wo möglich Multi-Faktor-Authentifizierung für Finanz- und Payment-Dienste zu aktivieren. Unternehmen sollten zusätzlich Mobile-Device-Management (MDM) und Richtlinien zur App-Installation etablieren.
Die TrustBastion-Kampagne über Hugging Face macht deutlich, wie stark sich die Grenzen zwischen KI-Plattformen, Entwicklungsumgebungen und Malware-Verteilinfrastruktur verwischen. Wer Risiken wirksam reduzieren will, benötigt eine Kombination aus technischen Schutzmaßnahmen, kontinuierlichem Monitoring der Software-Supply-Chain und gezielter Sensibilisierung der Nutzer. Je besser die Funktionsweise solcher Angriffe verstanden wird, desto schwieriger wird es für Angreifer, das Vertrauen in etablierte Plattformen für ihre Zwecke zu instrumentalisieren.
