Hugging Face: KI-Plattform verteilt Schadsoftware an Android-Nutzer

Eine groß angelegte Malware-Kampagne missbraucht die Infrastruktur der KI-Plattform Hugging Face, um Android-Geräte zu infizieren. Die Angreifer nutzen den vertrauenswürdigen Ruf der Entwicklerplattform, um Schadcode zu verbreiten – und umgehen so traditionelle Sicherheitsmaßnahmen.

Die Sicherheitslücke betrifft eine zentrale Drehscheibe der globalen KI-Entwicklung und zeigt die wachsende Gefahr durch Angriffe auf offene Ökosysteme. Für deutsche Unternehmen und Entwickler, die auf Plattformen wie Hugging Face setzen, wird das Risiko durch derartige Supply-Chain-Angriffe konkret.

Vom falschen Sicherheits-Tool zur Fernsteuerung

Der Angriff beginnt mit der Android-App „TrustBastion“. Sie wird über betrügerische Werbung verbreitet, die Nutzern vortäuscht, ihr Gerät sei infiziert. Die App gibt sich als legitimes Sicherheitstool aus. Nach der Installation fordert sie ein kritisches Update an – und leitet den Nutzer dabei direkt zu einem Repository auf Hugging Face um.

Dort wird die eigentliche Schadsoftware, ein Remote Access Trojan (RAT), heruntergeladen. Dieses Schadprogramm erschleicht sich umfangreiche Berechtigungen, oft unter dem Vorwand eines Sicherheitschecks. Hat es erst einmal Zugriff auf die Barrierefreiheits-Dienste (Accessibility Services) von Android, kann es das Gerät komplett übernehmen, Nachrichten lesen, Tastatureingaben protokollieren und Banking-Apps ausspähen.

Die EU-KI-Verordnung stellt Unternehmen und Entwickler vor neue, verbindliche Pflichten – viele Teams unterschätzen die Anforderungen an Kennzeichnung, Risikobewertung und Dokumentation. Gerade nach Vorfällen wie TrustBastion ist schnelles Handeln nötig: Der kostenlose Umsetzungsleitfaden erklärt praxisnah, wie Sie KI-Modelle richtig klassifizieren, welche Nachweise nötig sind und welche Fristen jetzt gelten. Mit Checklisten und Vorlagen für Entwickler- und Compliance-Teams. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Warum ausgerechnet Hugging Face zum Ziel wurde

Die Angreifer wählten die KI-Plattform mit Bedacht. Hugging Face wird von Millionen Entwicklern weltweit genutzt, um AI-Modelle wie etwa Sprach-KIs zu teilen. Der Datenverkehr zu dieser vertrauenswürdigen Domain wird von vielen Sicherheitssystemen kaum hinterfragt. Für die Cyberkriminellen war sie damit das perfekte Versteck.

Das Ausmaß der Kampagne ist beachtlich. In einem bösartigen Repository wurden alle 15 Minuten neue, leicht veränderte Varianten des Schadcodes hochgeladen. So entstanden über 6.000 einzigartige Malware-Varianten binnen eines Monats. Diese polymorphe Taktik macht eine Erkennung durch klassische Virenscanner, die auf Signaturen setzen, nahezu unmöglich. Die Standard-Scans der Plattform mit der Open-Source-Engine ClamAV wurden so systematisch umgangen.

Ein digitales „Hau-den-Maulwurf“-Spiel

Hugging Face reagierte auf die Entdeckung und löschte die betroffenen Repositories. Doch die Betreiber der Kampagne zeigten sich hartnäckig. Kurz nach der ersten Säuberungsaktion tauchten neue Repositories mit anderem Namen, aber gleichem Inhalt auf der Plattform auf. Ein klassisches Katz-und-Maus-Spiel begann.

Der Vorfall wirft grundsätzliche Fragen zur Sicherheit von Plattformen mit nutzergenerierten Inhalten auf, besonders im KI-Bereich. Die Herausforderung: Wie unterscheidet man zwischen einem legitimen KI-Modell, einem experimentellen Projekt und bösartigem Code? Herkömmliche Malware-Erkennung reicht hier oft nicht aus.

KI-Plattformen im Visier der Cyberkriminalität

Der Missbrauch von Hugging Face ist Teil eines größeren Trends. Cyberkriminelle nutzen zunehmend legitime Cloud-Dienste und Entwicklerplattformen für ihre Angriffe. Die Infrastruktur großer, vertrauenswürdiger Marken hilft ihnen, Blocklisten zu umgehen und ihre Kommunikation mit den infizierten Geräten zu tarnen.

Die Kampagne zeigt auch die fortschreitende „Weaponization“ von KI – also deren Nutzung für Angriffe. Je stärker KI-Tools in Wirtschaft und Alltag integriert werden, desto attraktiver werden ihre Plattformen als Angriffsziele. Für die Sicherheit bedeutet das eine notwendige Verschiebung: Statt sich auf die Reputation einer Quelle zu verlassen, muss das Verhalten von Apps auf dem Gerät selbst analysiert werden. Ungewöhnliche Update-Prozesse oder der Missbrauch von Barrierefreiheits-Diensten sind hier entscheidende Alarmzeichen.

Was Nutzer und Plattformen jetzt tun müssen

Der Fall „TrustBastion“ ist eine deutliche Warnung für das gesamte KI-Ökosystem. Für Plattformen wie Hugging Face bedeutet dies, dass herkömmliche Sicherheitsprotokolle nicht ausreichen. Nötig sind ausgefeiltere Verhaltensanalysen hochgeladener Dateien und eine strengere Überwachung der Repository-Aktivität.

Für Android-Nutzer bleibt die wichtigste Regel: Apps nur aus offiziellen Quellen wie dem Google Play Store installieren. Jede Aufforderung, Apps von Drittseiten zu installieren („Sideloading“), ist höchst verdächtig. Besondere Skepsis ist angebracht, wenn eine App ungewöhnlich viele Berechtigungen, insbesondere für Barrierefreiheits-Dienste, verlangt. In einer Zeit, in der Angreifer immer besser darin werden, sich als vertrauenswürdiger Verkehr zu tarnen, ist die Wachsamkeit der Nutzer der letzte entscheidende Schutz.

PS: Sie betreuen Entwickler-Repositories oder verantworten KI-Projekte? Dann sollten Sie die Übergangsfristen und Dokumentationspflichten der EU-KI-Verordnung kennen – sonst drohen Bußgelder und Compliance-Risiken. Dieses kompakte E-Book fasst die wichtigsten Pflichten zusammen, zeigt konkrete Maßnahmen zur Risikominimierung und liefert Vorlagen für Kennzeichnung und Nachweise. Kostenlosen KI-Leitfaden anfordern