Эксперты из K7 Labs раскрыли новую кампанию по распространению банковского трояна для Android, маскирующегося под популярный чат-бот Deepseek AI. Этот вредоносный код называется OctoV2.
Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, который выглядит почти идентично официальному ресурсу Deepseek AI. Пользователям предлагают скачать приложение под названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его значок. Вредоносное ПО сначала запрашивает разрешение на установку приложений из неизвестных источников, а затем устанавливает два отдельных вредоносных компонента — «родительское» приложение com.hello.world и «дочернее» приложение com.vgsupervision_kit29. «Дочернее» приложение активно запрашивает доступ к специальным возможностям Android (Accessibility Service).
Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за его защиты паролем, что является частью растущей тенденции использования защиты от обратного проектирования в таких APK-файлах. Тем не менее специалистам удалось выяснить, что «родительское» приложение проверяет наличие файла с расширением «.cat» и, если он найден, устанавливает дополнительный вредоносный пакет.
Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет ему постоянно менять имена серверов управления, обходя блокировки. Вредоносная программа также передает на серверы злоумышленников информацию обо всех установленных приложениях на зараженном устройстве. Напомним, что ранее этот банковский троян выдавал себя за Google Chrome и NordVPN. Эксперты советуют проявлять особую осторожность при скачивании приложений и избегать установки программ из непроверенных источников.
Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, который выглядит почти идентично официальному ресурсу Deepseek AI. Пользователям предлагают скачать приложение под названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его значок. Вредоносное ПО сначала запрашивает разрешение на установку приложений из неизвестных источников, а затем устанавливает два отдельных вредоносных компонента — «родительское» приложение com.hello.world и «дочернее» приложение com.vgsupervision_kit29. «Дочернее» приложение активно запрашивает доступ к специальным возможностям Android (Accessibility Service).
Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за его защиты паролем, что является частью растущей тенденции использования защиты от обратного проектирования в таких APK-файлах. Тем не менее специалистам удалось выяснить, что «родительское» приложение проверяет наличие файла с расширением «.cat» и, если он найден, устанавливает дополнительный вредоносный пакет.
Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет ему постоянно менять имена серверов управления, обходя блокировки. Вредоносная программа также передает на серверы злоумышленников информацию обо всех установленных приложениях на зараженном устройстве. Напомним, что ранее этот банковский троян выдавал себя за Google Chrome и NordVPN. Эксперты советуют проявлять особую осторожность при скачивании приложений и избегать установки программ из непроверенных источников.