Un nuevo ataque dirigido a dispositivos Android ha sido descubierto, donde los ciberdelincuentes emplean ingeniería social junto con una plataforma legítima de aprendizaje automático para distribuir malware peligroso. El ataque inicia cuando los usuarios reciben falsas alertas de seguridad que afirman que sus teléfonos están infectados y necesitan protección. Estos mensajes engañosos instan a los usuarios a descargar una aplicación fraudulenta llamada TrustBastion, 

Ha surgido una nueva campaña de amenazas para Android que utiliza ingeniería social combinada con una plataforma legítima de aprendizaje automático para distribuir malware peligroso en los dispositivos.

El ataque comienza cuando los usuarios ven alertas de seguridad falsas que afirman que sus teléfonos están infectados y necesitan protección. Estos mensajes engañosos incitan a descargar una falsa aplicación de seguridad llamada TrustBastion, que inicialmente parece inofensiva.

Sin embargo, una vez instalada, esta app se convierte en el punto de partida de una cadena de infección compleja que puede dar a los atacantes control total sobre los dispositivos Android comprometidos.

La campaña explota Hugging Face, una plataforma popular utilizada por desarrolladores e investigadores para compartir modelos de aprendizaje automático y conjuntos de datos.

En lugar de depender de dominios sospechosos que podrían ser bloqueados, los atacantes abusan de este servicio de confianza para alojar y distribuir sus cargas maliciosas.

Este enfoque es especialmente peligroso porque Hugging Face es ampliamente reconocida como una plataforma legítima, lo que hace que las herramientas de seguridad sean menos propensas a marcar el tráfico proveniente de ella. La plataforma afirma que todos los archivos subidos son escaneados, pero el ataque revela lagunas en las medidas de seguridad actuales.

Tras la instalación, TrustBastion muestra una notificación de actualización falsa que imita de cerca los diálogos legítimos de Google Play o del sistema Android.

Investigadores de Bitdefender identificaron que, al hacer clic en la actualización, la app se conecta a un servidor que redirige a los usuarios a un repositorio de Hugging Face que aloja la verdadera aplicación maliciosa para Android.

Este proceso de entrega en dos etapas ayuda a los atacantes a evitar la detección inmediata y aumenta la tasa de éxito de las infecciones.

Cómo los atacantes mantienen el control y roban datos

Una vez instalada la carga maliciosa, solicita permisos críticos mientras finge ser una función legítima de seguridad del teléfono.

El permiso más importante es el de Servicios de Accesibilidad, que otorga al malware visibilidad extensa sobre todo lo que haces en tu dispositivo.

Con este acceso, el RAT (troyano de acceso remoto) puede monitorear tu actividad, capturar pantallazos, grabar la pantalla y mostrar pantallas de inicio de sesión falsas diseñadas para robar credenciales financieras de servicios como Alipay y WeChat.

El malware también captura información de la pantalla de bloqueo y mantiene comunicación constante con un servidor de comando remoto mediante conexiones persistentes.

Esta conexión permite a los atacantes transmitir datos robados y recibir nuevos comandos en tiempo real. Los investigadores descubrieron que los atacantes regeneran nuevas versiones del malware aproximadamente cada quince minutos mediante polimorfismo del lado del servidor.

En veintinueve días, el repositorio original acumuló más de seis mil confirmaciones de cambios.

Cada nueva versión introduce variaciones menores mientras mantiene la misma funcionalidad maliciosa, una técnica diseñada específicamente para eludir sistemas de detección de seguridad basados en hashes de archivos.

Cuando el repositorio original de TrustBastion desapareció en diciembre de 2025, los atacantes simplemente lo relanzaron con un nombre diferente llamado Premium Club, usando el mismo código subyacente para continuar su campaña y evitar una detección prolongada.