Специалисты K7 Labs выявили новую вредоносную кампанию, в рамках которой злоумышленники распространяют банковский троян для устройств на базе Android. Вредоносное ПО, названное OctoV2, маскируется под популярный чат-бот Deepseek AI. Для распространения трояна используются фишинговые ссылки, которые перенаправляют пользователей на фальшивый сайт, почти идентичный официальному ресурсу Deepseek AI.
Жертвам предлагается скачать файл с именем «DeepSeek.apk». После установки вредоносная программа имитирует легитимное приложение, используя его иконку. Троян запрашивает разрешение на установку программ из неизвестных источников, а затем загружает два вредоносных модуля: «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29. Последний компонент активно пытается получить доступ к функции специальных возможностей Android (Accessibility Service), что позволяет злоумышленникам захватить контроль над устройством.
Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за его парольной защиты. Это подтверждает растущую тенденцию использования вредоносных APK-файлов, устойчивых к реверс-инжинирингу. Однако экспертам удалось установить, что приложение проверяет наличие файла с расширением «.cat», после чего загружает дополнительный вредоносный модуль.
Троян OctoV2 также применяет технологию генерации доменных имен (DGA), что позволяет злоумышленникам регулярно менять адреса управляющих серверов и обходить блокировки. Кроме того, вредонос собирает информацию обо всех приложениях, установленных на заражённом устройстве, и отправляет её на серверы злоумышленников.
Специалисты настоятельно рекомендуют пользователям избегать загрузки приложений из непроверенных источников и тщательно проверять адреса сайтов, чтобы минимизировать риск заражения.
Жертвам предлагается скачать файл с именем «DeepSeek.apk». После установки вредоносная программа имитирует легитимное приложение, используя его иконку. Троян запрашивает разрешение на установку программ из неизвестных источников, а затем загружает два вредоносных модуля: «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29. Последний компонент активно пытается получить доступ к функции специальных возможностей Android (Accessibility Service), что позволяет злоумышленникам захватить контроль над устройством.
Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за его парольной защиты. Это подтверждает растущую тенденцию использования вредоносных APK-файлов, устойчивых к реверс-инжинирингу. Однако экспертам удалось установить, что приложение проверяет наличие файла с расширением «.cat», после чего загружает дополнительный вредоносный модуль.
Троян OctoV2 также применяет технологию генерации доменных имен (DGA), что позволяет злоумышленникам регулярно менять адреса управляющих серверов и обходить блокировки. Кроме того, вредонос собирает информацию обо всех приложениях, установленных на заражённом устройстве, и отправляет её на серверы злоумышленников.
Специалисты настоятельно рекомендуют пользователям избегать загрузки приложений из непроверенных источников и тщательно проверять адреса сайтов, чтобы минимизировать риск заражения.
