Les services Cloud et les plateformes open source conçues pour partager les modèles et la recherche sont réutilisés par les criminels numériques comme des dépôts malveillants, et le dernier exemple a été découvert par la firme roumaine Bitdefender : une campagne qui utilise la plateforme Hugging Face pour accueillir des milliers de variantes d'un APK conçu pour voler les identifiants de paiement et la banque mobile.
L'attaque commence avec une application d'orge que les utilisateurs installent après avoir appuyé sur des annonces alarmistes qui indiquent que l'appareil est compromis. Cette application de trapanolate - avec un nom visible sur de nombreux échantillons comme TrustBastion - est utilisée comme outil de sécurité et force l'utilisateur à accepter une "mise à jour" qui reproduit visuellement les éléments de Google Play pour éviter d'éveiller les soupçons. Au lieu d'inclure le code malveillant dans l'installateur lui-même, le dropper contacte un serveur de contrôle qui retourne une redirection vers un dépôt hébergé dans Hugging Face. De là, la charge utile finale est téléchargée via la plate-forme CDN.
Le truc technique utilisé par les attaquants est particulièrement efficace : au lieu de servir un binaire statique, l'opérateur applique le polymorphisme au niveau du serveur, générant de nouvelles variantes de l'APK toutes les quelques minutes pour éviter les signatures et la détection par analyse statique. Bitdefender a documenté que, en peu de temps, le dépôt avait accumulé des milliers d'engagements et que, après avoir été retiré, l'opération réapparaissait sous un autre nom et avec de nouvelles icônes, conservant le même noyau malveillant. Des détails et des échantillons plus techniques sont décrits par les chercheurs dans leur rapport initial. publié par Bitdefender.
La charge finale est un trojan d'accès à distance (RAT) qui abuse des services d'accessibilité Android pour obtenir un contrôle avancé sur l'appareil. Par cette autorisation - présenté à l'utilisateur comme quelque chose nécessaire pour "protéger" le téléphone - malware peut chevaucher des écrans, capturer l'image du contenu montré, simuler des gestes, empêcher les désinstallation et exécuter des actions qui nécessitent normalement une interaction physique.
Grâce à ces capacités, les logiciels malveillants peuvent injecter de fausses interfaces sur des applications légitimes : des experts ont observé des fenêtres de phishing qui imitent paywalkways et des applications financières populaires, ainsi que des formulaires conçus pour capturer le déverrouillage de téléphone PIN. Toutes les informations volées sont envoyées aux serveurs de commande et de contrôle, qui maintiennent également l'application "vivante" montrant un faux contenu afin que la victime croit que l'outil fonctionne correctement.
Face à ce type d'abus des plateformes de distribution, Hugging Face a retiré les données en cause après avoir été informé par les chercheurs, mais l'épisode montre comment les services légitimes peuvent devenir vecteurs de campagnes sophistiquées lorsque l'utilisation malveillante des ressources n'est pas contrôlée. Pour comprendre le problème avec plus de contexte, le site Web public de Hugging Face est disponible à Câlins face.co et la documentation technique des enquêteurs qui ont mené au renvoi.
Quel risque cela présente-t-il pour un utilisateur normal? Si vous installez des applications qui ne proviennent pas de magasins officiels et que vous accordez des permis puissants comme les Services d'accessibilité, le risque augmente considérablement : l'attaquant peut voir et capturer vos interactions avec les applications bancaires, remplacer les écrans de connexion et obtenir des identifiants ou des codes d'accès. De plus, la persistance de ces TAR peut rendre difficile leur élimination jusqu'à ce qu'ils soient soigneusement appliqués.
Les recommandations pratiques ne sont pas nouvelles, mais elles restent les plus efficaces : elles évitent l'installation d'applications d'origines non vérifiées, examinent et interrogent les autorisations que toute application demande - en particulier l'accessibilité - et n'acceptent pas les "mises à jour" en dehors du magasin officiel. Google maintient des ressources avec des conseils sur la façon de protéger votre appareil et sur Play Protect qui peuvent vous aider à vérifier les applications et les comportements suspects sur Android, et il est recommandé de suivre ces guides: Centre d'aide Google Play et documentation pour les développeurs sur l'accessibilité dans evooper.android.com.
Si vous soupçonnez que votre appareil a été compromis par une telle application, il est approprié d'agir rapidement mais avec prudence : révoquer les autorisations d'accessibilité des paramètres avant d'essayer de désinstaller l'application, utiliser le mode de sécurité si la suppression directe échoue, lancer un scan avec des solutions de sécurité reconnues et modifier les mots de passe et activer l'authentification de deux facteurs dans les services critiques. En cas de vol d'identité financière, communiquez avec votre banque pour signaler des mouvements suspects et bloquer des cartes ou des accès.
Au-delà de la mesure individuelle, cet incident rappelle que les plateformes de collaboration et de distribution doivent améliorer les outils de détection des abus : des contrôles automatiques, l'examen du contenu exécutable et des mécanismes de réponse plus agiles sont essentiels pour réduire la fenêtre d'exposition. Les équipes de sécurité Hugging Face ont agi après la notification de Bitdefender, mais la facilité de recréer des dépôts et de changer de nom montre que le défi est persistant.
Dans un écosystème mobile de plus en plus central dans la vie financière et personnelle, la meilleure défense reste la combinaison de la prudence des utilisateurs et une réponse coordonnée entre les chercheurs, les plateformes et les fournisseurs. Gardez votre système et vos applications à jour, installez uniquement à partir de sources fiables et n'accordez pas de permissions sensibles sans comprendre pourquoi une application en a besoin; avec ces habitudes simples, vous réduisez considérablement la surface de l'attaque qui cherchent à exploiter des campagnes comme celle décrite par Bitdefender.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...