Onderzoekers van Bitdefender hebben een grote Android-campagne ontdekt waarbij een remote access trojan wordt verspreid via de infrastructuur van Hugging Face. De aanvallers gebruiken social engineering en maken misbruik van legitieme cloudhosting om schadelijke APK-bestanden te verspreiden. Ze gebruiken Android Accessibility Services om uitgebreide controle over geïnfecteerde apparaten te krijgen.

De infectieketen begint met een app genaamd TrustBastion, die via advertenties en waarschuwingen gebruikers overtuigt dat hun apparaat besmet is. De app lijkt een gratis beveiligingsoplossing te bieden, maar dient als dropper voor verdere infectie. Na installatie wordt een update aangeboden die lijkt op een Google Play-update. De app downloadt vervolgens een kwaadaardige APK via Hugging Face. Deze methode is gekozen om detectie te vermijden, omdat verkeer van bekende platforms minder snel wordt geblokkeerd. De aanvallers passen server-side polymorfisme toe, waardoor elke vijftien minuten nieuwe APK-varianten worden gegenereerd. De malware doet zich voor als een systeemcomponent en vraagt om toegang tot Accessibility Services, waardoor het volledige controle over het apparaat krijgt. Het verzamelt gebruikersgegevens en stuurt deze naar een command-and-controlserver. De campagne verscheen opnieuw onder de naam Premium Club nadat de oorspronkelijke repository offline was gehaald. Hugging Face heeft de datasets verwijderd na melding door Bitdefender. Dit incident toont aan hoe vertrouwde platforms steeds vaker worden misbruikt voor malwareverspreiding.