Trojan TrustBastion usa a plataforma Hugging Face para driblar antivírus, gerar milhares de variantes e roubar dados financeiros

Trojan – Cibercriminosos estão explorando ferramentas de inteligência artificial para ampliar a disseminação de malware em dispositivos Android. Uma investigação da empresa de segurança digital Bitdefender revelou uma campanha em larga escala que utiliza a plataforma Hugging Face para distribuir o trojan de acesso remoto conhecido como TrustBastion, responsável por infectar milhares de usuários.

A Hugging Face é amplamente utilizada para hospedar modelos de linguagem, conjuntos de dados e ferramentas voltadas ao desenvolvimento de inteligência artificial. No entanto, segundo a Bitdefender, a plataforma não realizou verificações suficientes sobre os conteúdos enviados por usuários, o que permitiu que criminosos se aproveitassem de sua reputação para hospedar arquivos maliciosos.

LEIA: China atinge 30% de domínio da produção de maquinário para semicondutores

A infecção tem início quando a vítima instala um aplicativo Android malicioso chamado TrustBastion. O app se apresenta como um scareware, software projetado para causar pânico, e é promovido por meio de pop-ups alarmantes exibidos durante a navegação na internet. As mensagens afirmam falsamente que o celular está infectado e necessita de proteção imediata.

Na prática, o TrustBastion funciona como um dropper, um tipo de malware criado para baixar e instalar outras ameaças no dispositivo. Logo após a instalação, o aplicativo exige que o usuário realize uma suposta atualização para continuar utilizando o serviço.

Essa atualização foi cuidadosamente desenvolvida para imitar as janelas legítimas do Google Play e do próprio sistema Android, o que aumenta significativamente as chances de a vítima aceitar o processo sem levantar suspeitas.

O objetivo final da campanha é o ganho financeiro. O malware se passa por serviços de pagamento amplamente utilizados, sobretudo na Ásia, como Alipay e WeChat Pay. Para isso, cria telas falsas sobre os aplicativos originais, capturando credenciais sensíveis no momento em que o usuário tenta fazer login.

Além disso, o trojan é capaz de capturar informações exibidas na tela de bloqueio do celular, incluindo códigos de verificação em duas etapas enviados por aplicativos financeiros via notificação. Com isso, os criminosos conseguem contornar completamente a autenticação multifatorial.

Estratégia engenhosa para evitar detecção

Após a instalação inicial, o dropper se conecta a um endpoint criptografado hospedado no domínio trustbastion.com. Em vez de fornecer diretamente um arquivo APK malicioso, o que poderia acionar sistemas de segurança, o servidor retorna um arquivo HTML aparentemente inofensivo.

Esse arquivo contém um link de redirecionamento que leva a um repositório hospedado na Hugging Face, onde o malware está efetivamente armazenado. A técnica ajuda a reduzir a chance de detecção por soluções antivírus tradicionais.

Operação em escala industrial

A análise dos repositórios revelou uma campanha altamente automatizada e organizada. Novas versões do malware eram criadas a cada 15 minutos, somando mais de 6.000 commits em um período de apenas 29 dias.

Para driblar sistemas de detecção baseados em assinaturas, os criminosos empregaram técnicas polimórficas, gerando APKs com pequenas variações de código. Apesar disso, a Bitdefender identificou padrões comportamentais comuns entre as versões, o que permite a detecção por análise de comportamento.

Mesmo após a remoção dos repositórios maliciosos pela Hugging Face, a campanha se manteve ativa. Os responsáveis simplesmente migraram o código para novos links, mantendo a mesma estrutura de ataque.

Permissões invasivas

Depois de instalado, o malware se disfarça sob o nome “Segurança do telefone” e solicita acesso aos Serviços de acessibilidade do Android. Essa permissão concede controle quase total do dispositivo aos atacantes.

Com autorização para gravar e transmitir a tela, os criminosos conseguem monitorar em tempo real todas as atividades do usuário e enviar as informações coletadas para servidores de comando e controle.

Embora a Hugging Face tenha removido rapidamente os repositórios após o alerta, o episódio expõe falhas nos processos de verificação da plataforma. Apesar de utilizar o antivírus ClamAV, a medida não foi suficiente para impedir que milhares de dispositivos fossem comprometidos. Até o momento, a empresa não anunciou mudanças em seus protocolos de segurança.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/serdjophoto)