Hugging Face : la plateforme IA détournée pour diffuser un malware Android

Génération NT / Actualités / Hugging Face : la plateforme IA détournée pour diffuser un malware Android

Publié le 30 janvier 2026 à 11:55 par Jérôme G.

Bitdefender a identifié une campagne de malware qui utilise la plateforme Hugging Face, un service d'hébergement réputé pour les modèles d'IA, afin de distribuer un cheval de Troie d'accès à distance (RAT) sur Android.

La menace commence par une application trompeuse nommée TrustBastion, présentée comme un outil de sécurité. Les utilisateurs sont incités à la télécharger via des publicités alarmistes prétendant que leur téléphone est infecté.

Une fois installée, cette application n'intègre aucune fonctionnalité malveillante directe, c'est un dropper qui affiche une fausse alerte de mise à jour, imitant les boîtes de dialogue de Google Play pour gagner la confiance de la victime.

Une infection qui se propage via une plateforme légitime

L'astuce des attaquants repose sur une chaîne d'infection en deux étapes. Plutôt que de télécharger directement le malware depuis un serveur suspect, le dropper contacte son serveur de commande et de contrôle qui lui renvoie un lien de redirection.

Ce lien pointe vers un dépôt sur la plateforme Hugging Face, un domaine considéré fiable et donc peu susceptible de déclencher des alertes de sécurité. C'est depuis cette infrastructure légitime que la charge utile finale, un cheval de Troie Android, est téléchargée et installée.

Pourquoi ce malware est-il si difficile à détecter ?

La principale force de cette campagne réside dans son utilisation du " polymorphisme côté serveur ". Les chercheurs de Bitdefender ont découvert que les attaquants génèrent automatiquement une nouvelle version de la charge utile environ toutes les 15 minutes. Au moment de l'analyse, un seul dépôt comptait déjà plus de 6 000 changements en seulement 29 jours.

Cette technique rend la détection basée sur le hachage (la signature numérique d'un fichier) presque inutile. Même si un dépôt est supprimé, l'opération se poursuit sous un autre nom, comme avec l'application Premium Club qui a succédé à TrustBastion en utilisant le même code sous-jacent.

Quels sont les risques pour un appareil infecté ?

Une fois la charge utile installée, le malware demande des autorisations critiques en se faisant passer pour une fonctionnalité de sécurité. Il incite l'utilisateur à activer les services d’accessibilité d'Android, une porte d'entrée qui lui confère des privilèges élevés et un contrôle persistant.

Avec ces droits, le cheval de Troie d'accès à distance (RAT) obtient un contrôle total sur l'appareil. Il peut enregistrer l'écran, superposer de fausses fenêtres de connexion pour le vol d'identifiants, capturer le code de déverrouillage de l'écran et exfiltrer de telles données sensibles vers le serveur de commande et de contrôle.

Bitdefender souligne que la campagne est toujours active et ajoute : " Cette découverte met en évidence les risques majeurs pour la communauté open source et l'écosystème IA, en montrant comment des plateformes de confiance peuvent être détournées. "

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire