В мире, где приложения могут шепнуть вам «всё под контролем», оказалось, что иногда шепчет не приложение, а мошенник — и делает это очень убедительно. Вот юморная мысль для старта: если бы смартфоны могли жаловаться, они бы сказали «я бы и рад обновиться, но только не от неизвестного репозитория».
Недавняя кампания показала, как злоумышленники превратили популярную платформу Hugging Face в удобную витрину для тысяч вариантов вредоносных APK. Исследователи из Bitdefender обнаружили цепочку: заманивающее dropper‑приложение TrustBastion с «пугающими» уведомлениями, поддельной страницей Google Play и перенаправлением на репозиторий на Hugging Face, откуда через CDN загружался финальный RAT‑пэйлоад. Подробнее о случае — в репортаже на BleepingComputer и в блоге Bitdefender.
Особенность кампании — server‑side полиморфизм: новые бинарники генерировались каждые 15 минут, а репозиторий успел накопить тысячи коммитов. Главный инструмент — злоупотребление Accessibility Services: вредоносник показывает наложения, делает скриншоты, имитирует интерфейсы банковских и платёжных сервисов (включая фишинговые экраны), препятствует удалению и крадёт данные пользователей.
Художественный штрих ситуации — злоумышленники не прятались в тени однажды: когда один репозиторий убрали, операция всплыла под другим именем, но с тем же зловредным сердцем. К счастью, коммуникация исследователей и платформы привела к удалению вредоносных датасетов; публиковались индикаторы компрометации и рекомендации по обнаружению.
Вывод остаётся простым и важным: не устанавливайте APK из подозрительных источников, скептически относитесь к внезапным «обновлениям», внимательно проверяйте запрашиваемые разрешения и предпочитайте официальные магазины. Наша цифровая гигиена — лучшая оборона; а исследователи и платформы, взаимодействуя, всё чаще побеждают злоумышленников — и за это им спасибо.