Un trojan Android se cache sur Hugging Face : vos identifiants bancaires en danger — vérifiez tout de suite

Nouvelle campagne Android : un trojan utilise Hugging Face pour voler vos identifiants bancaires

Une campagne malware sophistiquée ciblant les appareils Android a été mise en lumière par des chercheurs en cybersécurité : un Remote Access Trojan (RAT) se propage via une fausse application et s’appuie sur la plateforme Hugging Face pour héberger son code malveillant. L’objectif est classique mais redoutable : prendre le contrôle total du smartphone et exfiltrer les identifiants bancaires et autres données sensibles. Voici le déroulé précis de l’attaque, les techniques employées et ce que vous pouvez faire pour vous en protéger.

Comment l’infection démarre

Tout commence par une application trompeuse diffusée via des publicités mensongères. Les chercheurs ont identifié des variantes appelées TrustBastion ou Premium Club. Ces applis prétendent détecter des virus sur l’appareil et invitent l’utilisateur à « mettre à jour » l’application pour corriger la supposée menace. L’écran de mise à jour est conçu pour imiter parfaitement l’interface Android et celle du Google Play Store, afin d’éviter les soupçons même chez des utilisateurs attentifs.

Une chaîne d’attaque ingénieuse et résiliente

Lorsque l’utilisateur accepte d’installer l’« update », l’application contacte un serveur distant qui redirige le téléchargement vers un dossier hébergé sur Hugging Face. Utiliser une plateforme légitime comme point d’hébergement est la clé de la ruse : les solutions antivirus et les filtres de sécurité sont moins susceptibles de bloquer du contenu provenant d’un domaine réputé. De plus, les attaquants pratiquent le « polimorphisme côté serveur » : la même base de code est légèrement modifiée toutes les 15 minutes, changeant le hash du fichier et contournant ainsi les détections basées sur des signatures statiques.

Prise de contrôle via les permissions d’accessibilité

Une fois le malware installé, il sollicite des permissions invasives, en particulier l’activation des services d’accessibilité. Cette permission, conçue pour aider les personnes à mobilité réduite, donne en réalité au trojan des capacités puissantes : enregistrement de l’écran, surveillance des actions de l’utilisateur, et affichage de fenêtres superposées (« overlays ») qui imitent des interfaces légitimes. Grâce à cela, le malware peut intercepter les identifiants saisis dans les applications bancaires ou capturer les OTP envoyés par SMS ou messagerie.

Infrastructure de commande et contrôle

Le RAT maintient une connexion constante avec un serveur de commande et contrôle (C2). Ce serveur envoie des instructions, reçoit les données exfiltrées (captures d’écran, journaux, etc.) et peut fournir des configurations mises à jour. La modularité de l’infrastructure et la capacité à changer rapidement de dépôt sur Hugging Face rendent l’opération difficile à neutraliser complètement.

Pourquoi Hugging Face a été utilisé et le problème des plateformes ouvertes

Hugging Face est une plateforme très utilisée par la communauté IA pour partager modèles et datasets. Sa popularité et la confiance qu’elle inspire en font un vecteur idéal pour héberger des fichiers malveillants sans éveiller d’alerte. Bitdefender a alerté Hugging Face, ce qui a conduit au retrait des dépôts incriminés, mais la facilité de publication sur ces plateformes reste une faiblesse exploitable. Tant que des mécanismes de vérification plus stricts ne seront pas généralisés, des acteurs malveillants pourront réitérer des campagnes similaires.

Qui est visé et quels sont les risques

Utilisateurs finaux : vol d’identifiants bancaires, piratage de comptes, usurpation d’identité et pertes financières.

Applications de messagerie : interception d’OTP et compromission des MFA basés sur SMS.

Enterprise / BYOD : appareils professionnels infectés peuvent devenir des portes d’entrée vers des réseaux internes.

Comment se protéger : gestes simples et bonnes pratiques

Ne téléchargez jamais d’applications depuis des sources non officielles ou via des publicités : préférez toujours le Google Play Store et vérifiez l’éditeur de l’application.

Méfiez‑vous des écrans factices de mise à jour : une vraie mise à jour d’application passe par le store, pas par une fenêtre externe.

Désactivez ou limitez les permissions critiques comme les services d’accessibilité si elles ne sont pas strictement nécessaires.

Activez la vérification en deux étapes via des méthodes plus sûres que les SMS (applications d’authentification, clés physiques).

Installez une solution antivirus/mobile réputée et maintenez votre système à jour.

Sauvegardez régulièrement vos données et surveillez vos comptes bancaires pour détecter toute activité suspecte.

Que doivent faire les plateformes et autorités

Les plateformes d’hébergement comme Hugging Face doivent renforcer leurs contrôles automatisés et humains pour détecter les uploads malveillants. Les éditeurs d’app stores et les fournisseurs de sécurité doivent améliorer la détection d’applications trompeuses et la surveillance des redirections externes. Enfin, les autorités doivent poursuivre et démanteler les infrastructures C2 pour réduire la capacité d’action des opérateurs de ces malwares.

Points à surveiller

Apparition de nouvelles variantes du RAT utilisant d’autres plateformes d’hébergement.

Campagnes publicitaires malveillantes ciblant des régions/populations spécifiques.

Améliorations des protections côté plateformes IA pour limiter les abus.

La vigilance individuelle reste essentielle : face à des attaques de plus en plus ingénieuses, ce sont les réflexes simples — vérifier la source d’une app, limiter les permissions, utiliser l’authentification forte — qui font souvent la différence entre rester protégé et se faire dérober ses comptes.