安卓银行木马 - OctoV2，伪装成 Deepseek AI

世界正从人类现实向人工现实转变，即先进的人工智能(AI)。2025年1月，由杭州一家初创公司开发的先进人工智能Deepseek，为iOS和Android平台发布了其首款基于Deepseek-R1模型的聊天机器人应用。本文介绍了威胁行为者如何创建模仿Deepseek AI的欺骗性网站，诱导用户下载其恶意应用。

K7实验室最近发现了一则关于Deepseek安卓恶意软件的推特帖子，如图1所示。

该恶意软件通过钓鱼链接 hxxps://deepsekk.sbs 传播，如图2所示。

当用户点击该信息时，它会从 hxxps://deepsekk.sbs/DeepSeek.apk 网站下载恶意DeepSeek.apk文件（哈希值：e1ff086b629ce744a7c8dbe6f3db0f68），并将文件保存到设备的 "Sdcard/Downloads" 文件夹中，如图3所示。

一旦用户安装了恶意的"DeepSeek.apk"，该应用会在设备应用中使用真正的DeepSeek图标，如图4所示。

当用户启动恶意Deepseek应用时，会出现一个更新屏幕。当用户点击"更新"时，系统会提示用户启用"允许来自此来源"选项并安装一个额外的应用，如图5所示。

完成此过程后，设备的应用中会出现另一个Deepseek应用图标，如图6所示。根据图片，我们得出结论，设备上安装了两个Deepseek恶意软件实例，每个实例都有不同的包名。

为了验证这一点，Logcat日志显示了两个APK的安装过程，如下图7所示。

从这里开始，我们将包 "com.hello.world" 称为父应用，将 "com.vgsupervision_kit29" 称为子应用。一旦子应用 "com.vgsupervision_kit29" 安装在设备上，它会频繁地在设备上弹出辅助功能服务设置选项，如图8所示，直到用户最终允许该应用启用辅助功能服务。

技术分析

为了进行分析，我们尝试使用7-Zip提取父apk "deepseek.apk"，但它提示我们输入密码，尽管我们能够成功地在设备上安装和执行该应用。这种情况很不寻常，我们观察到在我们的收集中，这类受密码保护的恶意APK文件数量正在迅速增加。此外，如图9所示，APKTool和Jadx等逆向工具无法解析这些APK文件。

但是，我们注意到Android SDK工具aapt成功解析了该应用，如图10所示。

由于逆向工具无法解析APK，我们从安装后的模拟器中提取了应用创建的文件。

子应用安装后的代码分析

定位父应用assets文件夹中的.cat文件

一旦用户启动恶意父应用 "com.hello.world"，它会扫描应用的assets目录，寻找扩展名为".cat"的文件，如图11所示。

图12显示了父应用assets文件夹中存在的.cat文件。

.cat文件的提取、验证和安装

父应用打开apps assets文件夹中的".cat"文件，并将该文件复制到"data/data/com.hello.world/cache/Verify.apk"文件夹中，然后使用android方法"PackageManager.getPackageArchiveInfo()"检查它是否是有效的APK。在应用验证后，它开始在设备上安装应用作为子包，包名为 "com.vgsupervision_kit29"，如图13所示。需要注意的是，安装的子包也受密码保护。

C2通信

恶意客户端应用 "com.vgsupervision_kit29" 成功安装在设备上后，它使用域名生成算法(DGA)，这通常用于动态生成命令和控制(C2)通信的域名，以逃避域名黑名单，如图14所示。

然后，它扫描并检索受害者设备上所有已安装应用的列表。该列表随后被传输到C2服务器。此外，机器人命令和C2详细信息存储在 "/data/data/com.vgsupervision_kit29/shared_prefs/main.xml" 文件中，如图15所示。

保持系统和软件处于最新版本状态。同时用户应该谨慎行事，仅使用Google Play和App Store等信誉良好的平台下载软件。

威胁指标(IoCs)

URL

hxxps://deepsekk.sbs/DeepSeek.apk

MITRE ATT&CK

文章原文：https://labs.k7computing.com/index.php/android-banking-trojan-octov2-masquerading-as-deepseek-ai/