Malware Android distribuito tramite Hugging Face
Topic
Approfondimenti
Trending
tutti

Malware Android distribuito tramite Hugging Face

Ignoti cybercriminali hanno usato la piattaforma Hugging Face per distribuire un malware per Android che accede al dispositivo e ruba le credenziali.
Malware Android distribuito tramite Hugging Face
Sicurezza
Ignoti cybercriminali hanno usato la piattaforma Hugging Face per distribuire un malware per Android che accede al dispositivo e ruba le credenziali.
Google AI Studio

I ricercatori di Bitdefender hanno individuato una campagna malware che sfrutta la piattaforma Hugging Face per distribuire numerose versioni di un file APK per Android. Lo scopo dei cybercriminali è accedere ai dispositivi da remoto e rubare le credenziali di vari servizi. Google ha comunicato che il malware viene bloccato dalla funzionalità Play Protect.

Descrizione della tecnica e misure protettive

Hugging Face è una piattaforma di hosting per progetti open source. Ospita in particolare applicazioni, modelli e dataset di intelligenza artificiale e machine learning. Come già accaduto con altre piattaforme open source (GitHub soprattutto), la sua popolarità è stata sfruttata per distribuire malware Android.

L’attacco descritto dagli esperti di Bitdefender inizia con l’installazione di TrustBastion. Viene pubblicizzata dai cybercriminali come un’app di sicurezza (tramite un sito non più accessibile). Al primo avvio viene mostrata una schermata (con design simile a Google Play Store) che invita l’utente a scaricare un aggiornamento.

Viene invece prelevata una pagina HTML dal sito che contiene il link al file APK ospitato su Hugging Face. Per aggirare le protezioni della piattaforma vengono generate nuove varianti del file ogni 15 minuti (polimorfismo server-side). Gli esperti di Bitdefender hanno individuato oltre 6.000 varianti in 29 giorni. Il repository originario era stato messo offline, ma i cybercriminali ne hanno creato un altro con un nome differente.

Al termine del falso aggiornamento vengono chiesti i permessi per servizi di accessibilità, registrazione dello schermo, casting e overlay. Il RAT (Remote Access Trojan) può quindi monitorare le attività dell’utente, catturare screenshot ed eseguire altre azioni. In pratica è un tool di controllo remoto.

Può anche mostrare false schermate di login di app e servizi finanziari (tra cui AliPay e WeChat) e intercettare il codice di sblocco dello schermo. Il malware invia tutti i dati al server C2 (command-and-control), dal quale arrivano i falsi update e i comandi remoti. Hugging Face ha rimosso tutti i repository.

Gli utenti non dovrebbero scaricare file APK da fonti esterne e soprattutto devono prestare molta attenzione alle richieste di permessi. Un portavoce di Google ha dichiarato che il malware non è presente in nessuna app sul Play Store e che Play Protect blocca il RAT.

Fonte: Bleeping Computer

Pubblicato il 3 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

OpenClaw: centinaia di skill infette per agenti AI

OpenClaw: centinaia di skill infette per agenti AI
VPN illimitata da attivare a febbraio 2026: prezzo super per NordVPN

VPN illimitata da attivare a febbraio 2026: prezzo super per NordVPN
Notepad++ svela dettagli sulla vulnerabilità di WinGup

Notepad++ svela dettagli sulla vulnerabilità di WinGup
Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
OpenClaw: centinaia di skill infette per agenti AI

OpenClaw: centinaia di skill infette per agenti AI
VPN illimitata da attivare a febbraio 2026: prezzo super per NordVPN

VPN illimitata da attivare a febbraio 2026: prezzo super per NordVPN
Notepad++ svela dettagli sulla vulnerabilità di WinGup

Notepad++ svela dettagli sulla vulnerabilità di WinGup
Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
Luca Colantuoni
Pubblicato il
3 feb 2026
Link copiato negli appunti