СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:33
#ИБ

TrustBastion: Android-RAT использует Hugging Face для доставки полезной нагрузки

Исследователи компании Bitdefender выявили масштабную вредоносную кампанию, в рамках которой злоумышленники распространяют Android‑троян удалённого доступа (RAT) под именем TrustBastion. Атака сочетает социальную инженерию с хитрым использованием легальной платформы Hugging Face для доставки полезной нагрузки, что позволяет злоумышленникам снижать риск обнаружения и дольше оставаться незамеченными.

Суть атаки

Первичное заражение происходит через обманчивую рекламу и фальшивые уведомления, убеждающие пользователя в том, что устройство «инфицировано». Жертве предлагают установить приложение, маскирующееся под платформу безопасности — часто под названием «Безопасность телефона» или аналогичным. В ходе установки пользователя просят активировать службы специальных возможностей (accessibility services) — распространённая тактика у мобильного вредоносного ПО для получения широких прав без явного согласия.

Механизм доставки через Hugging Face

Ключевая особенность кампании — использование платформы Hugging Face для хостинга и доставки полезной нагрузки. Поскольку Hugging Face является легитимной и доверенной площадкой, трафик, направляемый через её домены, с меньшей вероятностью будет блокироваться или помечаться как вредоносный. Это позволяет злоумышленникам создавать видимость легитимности и обходить механизмы, ориентированные на низко‑репутационные домены.

Технические детали и масштабы

Bitdefender зафиксировал высокие темпы обновления и генерации полезной нагрузки: злоумышленники регулярно создавали новые варианты. Как отмечается в отчёте,

«Злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.»

Исследование также выявило конкретные индикаторы инфраструктуры:

  • Постоянное соединение с IP‑адресом: 154.198.48.57;
  • Домен, связанный с кампанией: trustbastion.com, работающий через порт 5000;
  • Появление дополнительного приложения Premium Club, использующего тот же базовый код, что и первоначальный троян — стратегия маскировки и длительного присутствия.

Возможности RAT и угрозы для пользователей

После получения расширенных прав через службы специальных возможностей TrustBastion превращается в мощный инструмент наблюдения и компрометации:

  • Отслеживание действий пользователя и сбор телеметрии;
  • Захват содержимого экрана и вводимых данных;
  • Передача собранных данных на сервер управления (C2);
  • Поддержание постоянного канала связи с C2 для получения команд и обновлений.

Почему это важно

Использование легальной платформы для доставки вредоносного кода демонстрирует эволюцию тактик злоумышленников: сочетание социальной инженерии, автоматизированной генерации полезной нагрузки и эксплуатации доверенных сервисов усложняет защиту и выявление атак. Массовое создание вариантов затрудняет работу сигнатурных детекторов и ускоряет распространение вредоносного ПО.

Рекомендации для пользователей и организаций

  • Не устанавливайте приложения по ссылкам из сомнительной рекламы и всплывающих уведомлений, особенно если они утверждают о «вирусах» или «проблемах» на устройстве.
  • Проверяйте источник приложения: используйте официальные магазины и проверяйте репутацию разработчика.
  • Ограничивайте использование служб специальных возможностей — предоставляйте такие права только проверенным приложениям и при необходимости;
  • Регулярно обновляйте ОС и приложения, используйте мобильные решения безопасности с поведенческим анализом;
  • Организациям: мониторьте исходящие соединения и блокируйте IOC (например, IP 154.198.48.57 и домен trustbastion.com) на уровне сети, при необходимости — сообщайте о злоумышленниках в соответствующие CERT/управляющие структуры;
  • При подозрении на компрометацию — отключите устройство от сети, удалите сомнительные приложения и проведите полную проверку с помощью антивирусных средств.

Вывод

Кампания с использованием TrustBastion подчёркивает, что злоумышленники всё активнее прибегают к комбинации социальной инженерии и злоупотребления доверенными платформами, такими как Hugging Face, чтобы скрывать свою активность. Бдительность пользователей и проактивные меры безопасности на уровне устройств и сети — ключевой фактор в предотвращении подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: