Фальшивое приложение DeepSeek AI распространяет банковский троянский вирус

Новый троян для банковских операций на Android, OctoV2, распространяется под видом популярного AI чат-бота DeepSeek, предупреждают исследователи в области кибербезопасности из K7.

Вредоносное ПО обманывает пользователей, заставляя их устанавливать поддельное приложение DeepSeek, которое затем крадет логины и пароли, а также другие конфиденциальные данные.

Атака начинается с фишингового сайта, который тщательно имитирует официальную платформу DeepSeek. Когда пользователи нажимают на ссылку, на их устройство загружается вредоносный файл APK под названием DeepSeek.apk.

После установки поддельное приложение отображает значок, идентичный настоящему приложению DeepSeek, что усложняет его обнаружение. При запуске он предлагает пользователям установить «обновление». Нажатие на кнопку обновления активирует настройку «Разрешить из этого источника», что позволяет второму приложению установить себя.

Это приводит к установке двух экземпляров вредоносного программного обеспечения на устройство жертвы — одного, действующего как родительское приложение (com.hello.world), и другого — как дочернее приложение (com.vgsupervision_kit29).

Затем дочернее приложение настойчиво запрашивает разрешения Службы доступности, непрерывно отображая страницу настроек до тех пор, пока пользователь не предоставит доступ. Как только это происходит, вредоносное ПО получает широкий контроль над устройством.

Исследователи безопасности из K7 Labs обнаружили, что вредоносное ПО использует передовые методы уклонения. И родительское, и дочернее приложения защищены паролем, что затрудняет их анализ с помощью традиционных инструментов обратной разработки. Родительское приложение извлекает скрытый файл «.cat» из своей папки с активами, переименовывает его в «Verify.apk» и устанавливает его в качестве дочернего пакета.

После активации вредоносное ПО сканирует устройство жертвы на наличие установленных приложений и передает данные на сервер управления и контроля (C2). Оно использует алгоритм генерации домена (DGA) для связи со своими операторами, что позволяет ему уклоняться от внесения в черный список доменов.

Эксперты предупреждают пользователей о необходимости осторожности при загрузке приложений. «Всегда используйте надежные платформы, такие как Google Play или App Store», — советует K7 Labs. Постоянное обновление устройств и использование авторитетного мобильного антивирусного программного обеспечения может помочь обнаруживать и блокировать подобные угрозы.