TrustBastion: Gefälschte Antivirus-App missbraucht KI-Plattformen

Eine gefälschte Android-Sicherheitsapp schleust selbst Schadsoftware ein. Die Hintermänner nutzen dafür die legitime KI-Plattform Hugging Face als Verteilungsweg und umgehen so Sicherheitsfilter.

Der perfide Trick mit dem Update

Die App „TrustBastion“ tarnt sich als seriöser Virenschutz. Sie lockt Nutzer über aggressive Werbebanner auf Webseiten, die eine angebliche Infektion vortäuschen. Nach der Installation wirkt die App zunächst harmlos.

Der Angriff beginnt erst, wenn die App ein „kritisches Update“ anfordert. Der Hinweis darauf sieht täuschend echt aus. Stimmt der Nutzer zu, lädt die App die eigentliche Schadsoftware nach. Diese Taktik hilft, automatische Prüfungen in App-Stores zu umgehen.

Hugging Face als unfreiwillige Malware-Schleuder

Das Besondere an dieser Kampagne ist der Verteilungsweg. Die Angreifer verstecken ihre Schadcode-Pakete in öffentlichen Datensätzen auf Hugging Face. Diese Plattform ist eigentlich für den Austausch von KI-Modellen gedacht.

Da der Datenverkehr zu Hugging Face oft als vertrauenswürdig eingestuft wird, umgeht die Malware so traditionelle Blocklisten. Zusätzlich nutzen die Kriminellen „Server-Side Polymorphismus“: Der Schadcode wird alle 15 Minuten leicht verändert, was es signaturbasierten Scannern schwer macht, ihn zu erkennen.

Millionen Downloads, ein gefährlicher Trend

„TrustBastion“ ist kein Einzelfall. Ein aktueller Bericht von Zscaler zeigt das Ausmaß des Problems:
* Im Google Play Store wurden im vergangenen Jahr über 200 bösartige Apps identifiziert.
* Diese wurden insgesamt mehr als 42 Millionen Mal heruntergeladen.
* Die Transaktionen mit Android-Malware stiegen um 67 Prozent.

Besonders betroffen sind Apps aus der Kategorie „Tools“, wie PDF-Reader, QR-Scanner oder angebliche Bereinigungs-Apps. Auch andere Schadsoftware wie der Banking-Trojaner „Crocodilus“ bleibt hochaktiv.

So klaut die Malware Ihre Daten

Hat die Schadsoftware Zugriff, zielt sie auf die Android-Bedienungshilfen ab. Diese Berechtigung ist ein Generalschlüssel. Sie erlaubt der App:
* Bildschirminhalte wie Passwörter in Echtzeit auszulesen.
* Jeden Tastendruck zu protokollieren.
* Gefälschte Login-Masken über echte Banking-Apps zu legen.

„TrustBastion“ versuchte zunächst, Zugangsdaten für asiatische Zahlungsdienste abzugreifen. Die Architektur ist jedoch modular – die Angreifer können den Trojaner binnen Stunden auf deutsche Bank-Apps oder Krypto-Wallets anpassen.

So schützen Sie sich

Experten raten zu erhöhter Vorsicht, selbst bei Apps, die Schutz versprechen:
* Ignorieren Sie Panikmache: Webseiten-Popups, die eine sofortige „Bereinigung“ fordern, sind immer Betrug. Schließen Sie den Tab.
* Prüfen Sie die Quelle: Laden Sie Apps nur aus dem offiziellen Google Play Store. Vermeiden Sie direkte Downloads von Werbebannern.
* Hinterfragen Sie Berechtigungen: Eine Taschenlampen-App braucht keinen Zugriff auf Bedienungshilfen. Verweigern Sie diese Berechtigung, wenn sie nicht plausibel ist.
* Aktivieren Sie Play Protect: Stellen Sie sicher, dass der integrierte Schutzmechanismus auf Ihrem Android-Gerät eingeschaltet ist.

Wer sich vor solchen mobilen Angriffen schützen möchte, findet praktische Hilfestellung in einem kostenlosen Cyber-Security-E‑Book. Es erklärt aktuelle Angriffsarten (auch KI-gestützte und mobile Malware), gibt sofort umsetzbare Schutzmaßnahmen für Android-Geräte und zeigt, wie Sie Konto‑ und Bankdaten besser absichern können. Jetzt das kostenlose Cyber-Security E‑Book herunterladen

Der Missbrauch vertrauenswürdiger Plattformen wie Hugging Face markiert eine neue Eskalationsstufe im Kampf gegen Mobile Malware. Die Aufmerksamkeit des Nutzers bleibt die wichtigste Verteidigungslinie.