Специалисты из K7 Labs выявили новую преступную кампанию, в которой злоумышленники распространяют банковский троян для Android, выдавая его за популярный чатбот Deepseek AI. Этот вредонос называется OctoV2, пишет Anti-Malware.ru.
Атака начинается с фишинговой ссылки, которая направляет на поддельный сайт, почти не отличающийся от официального ресурса Deepseek AI. Пользователям предлагается загрузить приложение под названием «DeepSeek.apk».
После установки данного вредоносного ПО оно скрывается за иконкой оригинального приложения. Первым делом злоумышленник запрашивает у пользователя разрешение на установку из неизвестных источников, после чего инсталлирует две отдельных вредоносные программы — «родительское» приложение com.hello.world и «дочернее» приложение com.vgsupervision_kit29. «Дочерний» софт активно требует у жертвы доступа к специальным функциям Android (Accessibility Service).
Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за наличия парольной защиты. Наблюдается явная тенденция к увеличению числа подобных вредоносных APK-файлов с защитой от реверс-инжиниринга. Однако специалистам удалось выяснить, что «родительское» приложение проверяет наличие файла с расширением «.cat», а затем устанавливает дополнительный вредоносный пакет. Вдобавок ко всему, троян OctoV2 применяет алгоритм генерации доменов (DGA), что позволяет ему постоянно менять имена своих серверов и обходить блокировки.
Троян также передаёт на серверы злоумышленников данные обо всех программах, установленных на зараженном устройстве.
