Fałszywa aplikacja DeepSeek AI rozprzestrzenia trojana bankowego

Image by Solen Feyissa, from Unsplash

Fałszywa aplikacja DeepSeek AI rozprzestrzenia trojana bankowego

Przeczytasz w: 2 min

Nowy trojański bankowy wirus na Androida, OctoV2, rozprzestrzenia się pod przykrywką popularnego AI chatbota DeepSeek, ostrzegają badacze z dziedziny cyberbezpieczeństwa z K7.

Spieszysz się? Oto najważniejsze fakty!

  • Szkodliwe oprogramowanie rozprzestrzenia się za pośrednictwem strony phishingowej, która naśladuje oficjalną platformę DeepSeek.
  • Instaluje dwie szkodliwe aplikacje, jedna działa jako rodzic, a druga jako dziecko.
  • Szkodliwe oprogramowanie korzysta z uprawnień Usługi Dostępności, aby kontrolować zainfekowane urządzenia.

Złośliwe oprogramowanie zwodzi użytkowników, nakłaniając ich do zainstalowania fałszywej aplikacji DeepSeek, która następnie kradnie dane logowania i inne wrażliwe informacje.

Atak rozpoczyna się od strony phishingowej, która wiernie naśladuje oficjalną platformę DeepSeek. Kiedy użytkownicy klikają link, złośliwy plik APK o nazwie DeepSeek.apk jest pobierany na ich urządzenie.

Po zainstalowaniu, fałszywa aplikacja wyświetla ikonę identyczną jak prawdziwa aplikacja DeepSeek, co utrudnia jej wykrycie. Po uruchomieniu, prosi użytkowników o zainstalowanie „aktualizacji”. Kliknięcie przycisku aktualizacji umożliwia ustawienie „Zezwalaj z tego źródła”, co pozwala na zainstalowanie się drugiej aplikacji.

To skutkuje dwukrotną instalacją złośliwego oprogramowania na urządzeniu ofiary – jedno działa jako aplikacja macierzysta (com.hello.world), a drugie jako aplikacja potomna (com.vgsupervision_kit29).

Aplikacja potomna następnie agresywnie żąda uprawnień do usług dostępności, nieustannie wyświetlając stronę ustawień, dopóki użytkownik nie udzieli dostępu. Po włączeniu złośliwe oprogramowanie uzyskuje szeroki dostęp do urządzenia.

Badacze z K7 Labs odkryli, że złośliwe oprogramowanie korzysta z zaawansowanych technik unikania wykrycia. Zarówno aplikacje nadrzędne, jak i podrzędne są chronione hasłem, co utrudnia ich analizę za pomocą tradycyjnych narzędzi do inżynierii wstecznej. Aplikacja nadrzędna wyodrębnia ukryty plik „.cat” ze swojego folderu zasobów, zmienia jego nazwę na „Verify.apk” i instaluje go jako pakiet podrzędny.

Po aktywacji, złośliwe oprogramowanie skanuje urządzenie ofiary pod kątem zainstalowanych aplikacji i przesyła te dane do serwera Command and Control (C2). Używa ono Algorytmu Generowania Domen (DGA) do komunikacji z operatorami, co pozwala mu uniknąć blokady domen.

Eksperci ostrzegają użytkowników, aby byli ostrożni podczas pobierania aplikacji. „Zawsze korzystaj z zaufanych platform, takich jak Google Play czy App Store” – radzi K7 Labs. Utrzymanie urządzeń w aktualnym stanie oraz korzystanie z renomowanego oprogramowania zabezpieczającego na urządzenia mobilne może pomóc wykryć i zablokować takie zagrożenia.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...