潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

admin
admin
admin
136520
文章
111
评论
2025年2月17日21:20:36评论44 views字数 1888阅读6分17秒阅读模式

近日,国产AI大模型DeepSeek(深度求索)一经推出,凭借其卓越的性能在全球范围内引发了广泛关注,与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台,发现了一批假冒DeepSeek的恶意应用程序。针对这一情况,安天移动安全团队迅速展开了深入分析和关联拓展,揭示了这些恶意应用的潜在威胁,并采取了相应的防护措施,为用户安全使用国产AI产品保驾护航。

1

样本基本特征对比

仿冒应用程序名、图标与正版应用别无二致,普通用户难以分辨真假。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

2

样本详细分析

1# 动态分析
恶意应用运行后直接提示更新,点击后会直接弹出安装同名恶意子包弹框请求。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
诱导用户请求启用无障碍服务。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
程序名、图标和正版基本一致,且可以同时安装于同一设备中。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
与官方正版应用比较,恶意样本运行后的界面如下,直接访问的DeepSeek的官网。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
正版DeepSeek应用如下,可以看到需要登录后才能正常使用,运行界面也不一致。

潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

2# 静态分析
该恶意应用使用了一些对抗手段来对抗逆向分析工具,增加分析难度,逃避安全检测,具体如下:
样本通过工具创建同名文件夹,对抗分析工具。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
使用伪加密修改zip文件数据的方式让工具误认为存在密码。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
使用整体自定义壳进行加固处理。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
使用类名、变量名混淆来增加分析难度。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
使用动态加载的方式加载恶意子包。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
子包功能详细分析:
其关键指令解析如下:
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
主要信息获取行为如下:
1、获取短信信息。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
2、获取通讯录。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
3、发送短信。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
4、获取应用安装列表。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
5、获取cookie。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
6、通过无障碍服务监控用户的点击、输入等行为。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
7、窃取google验证码。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
8、VNC屏幕监控。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
9、通过激活设备管理器和无障碍服务防卸载。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
3# 网址信息
服务器网址如下:
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

3

历史溯源

根据分析恶意木马的服务器指令特征,发现该木马与历史家族Trojan/Android.Coper的指令基本一致,如下图所示(左图为该木马,右图为Trojan/Android.Coper家族样本)。
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
该木马家族作为长期活跃的恶意攻击威胁,于2021年7月被首次披露,安天病毒百科已经收录了该家族样本,见
https://www.virusview.net/malware/Trojan/Android/Coper。该木马初期以伪装成哥伦比亚官方金融应用“Bancolombia Personas”进行传播,后续逐步扩展伪装对象至Chrome浏览器、Google Play应用商店、McAfee安全软件及DHL Mobile等全球知名应用。其攻击链通过仿冒合法程序诱导用户下载并执行恶意代码,进而实现敏感数据窃取,包括但不限于短信内容、通讯录信息及主流社交/金融应用的账户凭据,最终对受害者构成隐私泄露与资金安全的双重威胁。

4

分析总结

经综合分析,该恶意样本采用多层伪装机制,其主程序仿冒为DeepSeek官方应用,通过诱导性展示目标官网界面降低用户警惕性。在运行阶段,样本通过动态代码加载技术隐蔽加载恶意子包,并建立与C&C服务器的加密通信信道。恶意模块具备多维度数据窃取能力,包括:1、隐私窃取模块(短信/联系人/应用列表等);2、界面监控模块(滥用无障碍服务权限实施屏幕内容抓取);3、指令执行模块(支持远程指令解析,实现功能动态扩展)。攻击链中特别采用界面伪装与恶意行为分离机制,有效规避基础安全检测,最终导致用户敏感信息泄露及设备控制权限沦陷。

安天威胁情报中心已通过实时威胁狩猎系统完成覆盖该家族全量样本的检测规则部署,并联动移动终端防护体系实现安装阻断,为防范AI技术滥用场景下的新型网络威胁提供主动防御支撑。

潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

(相关链接:

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=E1FF086B629CE744A7C8DBE6F3DB0F68

5

防护建议

1、建议从官方网站、各大手机厂商应用平台下载正版应用。
2、对与请求无障碍服务和激活设备管理器的行为提高警惕,不轻易授予相关权限。
3、在手机设置中关闭"允许安装未知来源应用"的选项。
4、定期在设置-应用管理中查看近期安装的陌生程序。
5、对设备电量异常消耗的情况予以关注。
6、养成定期使用手机管家等具有杀毒功能应用的使用习惯,及时查杀病毒。

6

关联样本

银行间谍木马:
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
除此之外,通过内部大数据关联分析发现,近期除了上面提到的银行木马外,还存在其他冒用DeepSeek名义从事诈骗活动的情况,如下为部分关联样本信息:
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

原文始发于微信公众号(安天移动安全):潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月17日21:20:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡https://cn-sec.com/archives/3752949.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息