
Image by Solen Feyissa, from Unsplash
Fałszywa aplikacja DeepSeek AI rozprzestrzenia trojana bankowego
Nowy trojański bankowy wirus na Androida, OctoV2, rozprzestrzenia się pod przykrywką popularnego AI chatbota DeepSeek, ostrzegają badacze z dziedziny cyberbezpieczeństwa z K7.
Spieszysz się? Oto najważniejsze fakty!
- Szkodliwe oprogramowanie rozprzestrzenia się za pośrednictwem strony phishingowej, która naśladuje oficjalną platformę DeepSeek.
- Instaluje dwie szkodliwe aplikacje, jedna działa jako rodzic, a druga jako dziecko.
- Szkodliwe oprogramowanie korzysta z uprawnień Usługi Dostępności, aby kontrolować zainfekowane urządzenia.
Złośliwe oprogramowanie zwodzi użytkowników, nakłaniając ich do zainstalowania fałszywej aplikacji DeepSeek, która następnie kradnie dane logowania i inne wrażliwe informacje.
Atak rozpoczyna się od strony phishingowej, która wiernie naśladuje oficjalną platformę DeepSeek. Kiedy użytkownicy klikają link, złośliwy plik APK o nazwie DeepSeek.apk jest pobierany na ich urządzenie.
Po zainstalowaniu, fałszywa aplikacja wyświetla ikonę identyczną jak prawdziwa aplikacja DeepSeek, co utrudnia jej wykrycie. Po uruchomieniu, prosi użytkowników o zainstalowanie „aktualizacji”. Kliknięcie przycisku aktualizacji umożliwia ustawienie „Zezwalaj z tego źródła”, co pozwala na zainstalowanie się drugiej aplikacji.
To skutkuje dwukrotną instalacją złośliwego oprogramowania na urządzeniu ofiary – jedno działa jako aplikacja macierzysta (com.hello.world), a drugie jako aplikacja potomna (com.vgsupervision_kit29).
Aplikacja potomna następnie agresywnie żąda uprawnień do usług dostępności, nieustannie wyświetlając stronę ustawień, dopóki użytkownik nie udzieli dostępu. Po włączeniu złośliwe oprogramowanie uzyskuje szeroki dostęp do urządzenia.
Badacze z K7 Labs odkryli, że złośliwe oprogramowanie korzysta z zaawansowanych technik unikania wykrycia. Zarówno aplikacje nadrzędne, jak i podrzędne są chronione hasłem, co utrudnia ich analizę za pomocą tradycyjnych narzędzi do inżynierii wstecznej. Aplikacja nadrzędna wyodrębnia ukryty plik „.cat” ze swojego folderu zasobów, zmienia jego nazwę na „Verify.apk” i instaluje go jako pakiet podrzędny.
Po aktywacji, złośliwe oprogramowanie skanuje urządzenie ofiary pod kątem zainstalowanych aplikacji i przesyła te dane do serwera Command and Control (C2). Używa ono Algorytmu Generowania Domen (DGA) do komunikacji z operatorami, co pozwala mu uniknąć blokady domen.
Eksperci ostrzegają użytkowników, aby byli ostrożni podczas pobierania aplikacji. „Zawsze korzystaj z zaufanych platform, takich jak Google Play czy App Store” – radzi K7 Labs. Utrzymanie urządzeń w aktualnym stanie oraz korzystanie z renomowanego oprogramowania zabezpieczającego na urządzenia mobilne może pomóc wykryć i zablokować takie zagrożenia.
Zostaw komentarz
Anuluj odpowiedź