文章总结： Bitdefender发现TrustBastion恶意软件利用HuggingFace平台分发，通过恐吓广告诱导安装后，采用服务端多态性技术每15分钟生成新变种逃避查杀。软件获取安卓辅助功能权限后完全控制设备，实时监控支付宝和微信并覆盖伪造登录界面窃取金融凭证，同时窃取锁屏PIN码。专家建议避免非官方渠道下载应用并警惕过度权限请求。 综合评分： 80 文章分类： 恶意软件,移动安全,应用安全,漏洞分析,社会工程学

【安全圈】TrustBastion 恶意安卓 App 曝光，瞄准你的支付宝与微信钱包

安全圈

2026年1月30日 19:01 江苏

关键词

恶意软件

网络安全公司 Bitdefender 昨日（1 月 29 日）发布博文，报道称有黑客利用 Hugging Face 分发安卓恶意软件，窃取用户的支付宝、微信等金融凭证。

注：Hugging Face 是全球知名的开源社区和平台，供开发者托管、共享和协作开发人工智能模型、数据集和演示应用，可以视为 AI 界的 “GitHub” 或 ” 应用商店 “。由于其信誉度高，常被安全软件列为白名单。

本次攻击主要针对安卓用户，通过恐吓式广告，谎称用户设备已感染病毒，诱导其下载名为 “TrustBastion” 的诱饵应用。

用户安装后，TrustBastion 会立即弹出一个伪装成 Google Play 风格的强制更新提示。实际上，该应用并不直接包含恶意代码，而是连接服务器，将用户重定向至 Hugging Face 的数据集仓库，下载真正的恶意 APK 载荷。

TrustBastion 为了对抗杀毒软件，采用了复杂的 ” 服务端多态性 ” 技术，每隔 15 分钟就会自动生成一个新的载荷变种，改变代码特征以逃避特征码扫描。

调查显示，涉事仓库在短短 29 天内就提交了超过 6000 次代码更新。即便原始仓库被封禁，攻击者也迅速更名为 “Premium Club”，更换图标后继续利用相同代码作恶。

恶意载荷一旦植入，便会以 ” 安全需要 ” 为由，强行请求安卓系统的 ” 辅助功能服务 “（Accessibility Services）。获得该权限后，恶意软件即可完全接管手机：它不仅能监控屏幕内容、执行滑动操作，还能阻止用户卸载该应用。更危险的是，它会全天候连接命令与控制服务器（C2），实时上传窃取的数据。

该恶意软件的核心目标是金融盗窃。它通过监控用户活动，在用户打开支付宝、微信等金融应用时，覆盖一层伪造的登录界面，诱骗用户输入账号密码。

此外，它还会尝试窃取手机的锁屏 PIN 码。Bitdefender 目前已向 Hugging Face 通报了相关情况，恶意数据集已被移除，但专家建议用户切勿通过第三方渠道下载应用，并需警惕应用索取的不合理权限。

END

阅读推荐

【安全圈】抖音崩了

【安全圈】恶意 VS Code 扩展”ClawdBot Agent”伪装AI助手传播木马

【安全圈】PyTorch “安全”模式被严重RCE漏洞攻破，可执行任意代码

【安全圈】Chrome 发布安全更新，修复后台 Fetch API 漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】TrustBastion 恶意安卓 App 曝光，瞄准你的支付宝与微信钱包》