Elle promettait de détecter les arnaques et les messages frauduleux, elle dérobe en réalité vos identifiants et coordonnées bancaires. Le moins que l’on puisse dire, c’est que TrustBastion n’est pas une appli de sécurité comme les autres.
Difficile de faire plus ironique qu’un malware qui se fait passer pour un antivirus. Selon Bitdefender, une nouvelle campagne cible les utilisateurs et utilisatrices Android avec une application baptisée TrustBastion, prétendument conçue pour détecter les arnaques, les SMS frauduleux et les tentatives de phishing. En réalité, il s’agit d’un dropper, une première étape d’infection conçue pour télécharger une charge utile bien plus intrusive. Le tout s’appuie sur une fausse mise à jour, des autorisations abusives et un hébergement malin sur une plateforme bien connue du monde de l’IA, Hugging Face, dont la réputation réseau joue ici en faveur des attaquants.
De la fausse alerte à la fuite de données en temps réel
Comme souvent dans ce type de campagne, le leurre repose sur une fausse alerte de sécurité, ici une publicité affirmant que le téléphone de la victime est compromis. On lui recommande alors de télécharger TrustBastion, présentée comme une solution tout-en-un capable de détecter les contenus suspects, les messages frauduleux ou les tentatives de phishing.
Dès son lancement, l’application affiche un faux écran de mise à jour imitant ceux du Google Play Store, exigeant une action immédiate pour continuer. Ce second téléchargement délivre en réalité un fichier APK qui installe un cheval de Troie d’accès à distance (RAT), capable d’observer, d’enregistrer et de manipuler tout ce qui s’affiche à l’écran.
Pour contourner les systèmes de détection basés sur la réputation des domaines ou sur l’analyse statique des fichiers, les attaquants s’appuient sur Hugging Face. Les charges utiles y sont hébergées dans des dépôts publics, et remplacées par de nouvelles versions toutes les 15 minutes. Chaque fichier APK ainsi généré adopte le même comportement, mais présente une empreinte différente du fait de la modification de son code, ce qui lui permet d’échapper aux solutions de sécurité fondées sur les signatures.
Une fois installée, la charge demande l’activation des services d’accessibilité. Cette permission, encore trop souvent accordée à la légère, donne en réalité un accès très large à l’ensemble des interactions de l’utilisateur ou de l’utilisatrice. En parallèle, le malware réclame d’autres droits sensibles liés à l’enregistrement d’écran, aux superpositions visuelles ou à la diffusion de contenu. Il peut ainsi espionner l’activité en temps réel, imiter des interfaces légitimes (bancaires ou système), et transmettre en arrière-plan une grande variété d’informations sensibles : identifiants de connexion, contenus saisis à l’écran, coordonnées bancaires ou données liées au verrouillage de l’appareil.
Que faire face pour ne pas tomber dans le piège
Selon Bitdefender, le dépôt hébergeant l’application TrustBastion est resté en ligne pendant plus d’un mois avant de disparaître fin décembre 2025. Il a ensuite été remplacé par un nouveau dépôt, contenant cette fois une application nommée Premium Club, reposant sur le même code malveillant, mais sous un habillage différent.
Les chercheurs ont également confirmé avoir contacté Hugging Face avant publication de leur rapport, ce qui a permis la suppression rapide des dépôts malveillants. Rien, en revanche, n’indique que Google ait été alertée, ni qu’une mesure ait été prise pour notifier les appareils concernés. En clair, si vous avez installé une application nommée TrustBastion ou Premium Club en dehors du Play Store, désinstallez-la immédiatement.
De manière générale, évitez d’installer des applications Android depuis des sources externes, surtout si l’installation est motivée par un message d’alerte surgi de nulle part, prétendant que votre téléphone est infecté ou qu’une intervention urgente est nécessaire. Pour vérifier l’état de votre appareil, préférez passer par les paramètres de Play Protect (à ne pas désactiver) ou utiliser un antivirus reconnu, disponible sur le Play Store.
Faites également attention aux permissions demandées, et ne validez jamais l’accès aux services d’accessibilité si vous n’êtes pas sûr de ce que cela implique, ou si vous n’avez pas eu le temps de vérifier la fiabilité de l’application concernée.
Source : Bitdefender
