安卓恶意软件伪装成DeepSeek窃取用户登录凭证

一款名为OctoV2的复杂安卓银行木马被发现伪装成合法的DeepSeek AI应用程序。

该恶意软件活动使用了一个与官方DeepSeek平台极为相似的钓鱼网站，诱骗用户下载一个恶意应用程序，以窃取登录凭证和敏感信息。

DeepSeek是由杭州一家中国初创公司开发的先进人工智能聊天机器人，于2025年1月发布了其首个iOS和安卓平台应用程序。该AI平台的流行使其成为网络犯罪分子利用用户信任的有吸引力的目标。

K7安全实验室的研究人员在观察到一条关于假冒DeepSeek安卓应用程序的可疑Twitter帖子后检测到了这一威胁。他们的分析显示，该恶意软件通过钓鱼链接hxxps://deepsekk[.]sbs分发，该链接会下载一个恶意的APK文件到受害者的设备上。

一旦安装，恶意应用程序会显示与合法DeepSeek应用程序相同的图标，使用户难以识别威胁。启动时，恶意软件会显示一个更新屏幕，提示用户启用“允许从此来源安装”选项并安装一个额外的组件。

Deeepseek 客户端应用程序安装

感染过程导致设备上安装了两个DeepSeek恶意软件实例，每个实例具有不同的包名。

技术分析显示，主包“com.hello.world”作为父应用程序，然后安装次级包“com.vgsupervision_kit29”作为子应用程序。

恶意软件分析

该恶意软件采用复杂的方法来逃避检测。父应用程序和子应用程序都受密码保护，使得使用APKTool和Jadx等标准逆向工具进行分析变得困难。

父应用程序从其资产文件夹中提取一个隐藏的“.cat”文件，并将其复制到设备上作为“Verify.apk”，然后将其安装为子包。

安装后，子应用程序持续请求无障碍服务权限，使恶意软件能够广泛控制设备。它利用域名生成算法（DGA）与命令和控制（C2）服务器建立通信。

域生成算法 （DGA）

然后，木马会扫描并检索受害者设备上所有已安装应用程序的列表，并将此信息传输到C2服务器。机器人命令和C2详细信息存储在“/data/data/com.vgsupervision_kit29/shared_prefs/main.xml”文件中。

建议用户仅从Google Play等官方来源下载应用程序，保持设备更新最新的安全补丁，并使用可靠的安全解决方案来检测和预防此类威胁。

原文来自: cybersecuritynews.com