Эксперты компании K7 Labs обнаружили новую вредоносную кампанию, в которой киберпреступники маскируют Android-троян, предназначенный для кражи банковских данных, под видом популярного чат-бота Deepseek AI. Троян получил название OctoV2.
Начало атаки происходит через обманную ссылку, ведущую на поддельный сайт, который визуально практически идентичен официальному сайту Deepseek AI. Пользователям предлагается загрузить приложение «DeepSeek.apk». После установки вредонос маскируется под оригинальное приложение, используя его значок.
После установки вредонос запрашивает разрешение на установку приложений из ненадежных источников, а затем устанавливает два вредоносных приложения: «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29. «Дочернее» приложение настойчиво требует у пользователя предоставить доступ к функциям Accessibility Service Android.
Анализ «родительского» приложения был затруднен из-за использования защиты паролем, что свидетельствует о растущей тенденции применения защиты от анализа в APK-файлах. Тем не менее, экспертам удалось установить, что «родительское» приложение проверяет наличие файла с расширением «.cat» и устанавливает дополнительный вредоносный пакет.
OctoV2 также использует алгоритм генерации доменных имен (DGA) для смены адресов серверов управления и обхода блокировок. Кроме того, троян отправляет злоумышленникам информацию обо всех установленных на устройстве пользователя приложениях. Ранее троян Octo маскировался под Google Chrome и NordVPN. Специалисты рекомендуют проявлять повышенную бдительность при загрузке приложений и избегать установки программного обеспечения из ненадежных источников.