最近，一種偽裝成 DeepSeek AI 應(yīng)用程序的 Android 惡意軟件出現(xiàn)，構(gòu)成了嚴(yán)重的網(wǎng)絡(luò)安全威脅。

該惡意軟件旨在誘使用戶下載 DeepSeek 應(yīng)用程序的虛假版本，進(jìn)而通過竊取登錄憑據(jù)等敏感信息，危害用戶設(shè)備的安全。

惡意軟件傳播和安裝

該惡意軟件通過網(wǎng)絡(luò)釣魚鏈接傳播，如 hxxps://deepsekk [.] sbs，這些鏈接會引導(dǎo)用戶下載以哈希值命名的惡意 APK 文件 DeepSeek.apk（哈希值為 e1ff086b629ce744a7c8dbe6f3db0f68）。

下載頁面

一旦安裝，該應(yīng)用程序會與真正的 DeepSeek 圖標(biāo)一同出現(xiàn)在設(shè)備的應(yīng)用程序抽屜中，致使用戶難以將其與合法版本區(qū)分開來。

啟動虛假應(yīng)用程序后，系統(tǒng)會提示用戶進(jìn)行更新，而這一操作需要用戶啟用 “允許來自此來源” 選項，并安裝附加應(yīng)用程序。這一過程會導(dǎo)致設(shè)備上安裝兩個惡意軟件實例，且每個實例都有不同的軟件包名稱，分別為 com.hello.world 和 com.vgsupervision_kit291。

技術(shù)分析和影響

該惡意應(yīng)用程序采用了先進(jìn)的規(guī)避技術(shù)，其中包括對 APK 文件進(jìn)行密碼保護(hù)，這使得使用 APKTool 和 Jadx 等標(biāo)準(zhǔn)工具進(jìn)行分析變得極為復(fù)雜。不過，Android SDK 工具 aapt 能夠成功解析該應(yīng)用程序。

名為 com.vgsupervision_kit29 的兒童應(yīng)用程序，頻繁提示用戶啟用輔助服務(wù)，以獲取在設(shè)備上提升權(quán)限的許可。

兒童應(yīng)用安裝過程

根據(jù) K7 安全實驗室的報告，該應(yīng)用程序運用域生成算法（DGA）進(jìn)行命令和控制（C2）通信，這使得跟蹤和阻止其活動變得更加困難。

該惡意軟件會掃描設(shè)備中已安裝的應(yīng)用程序，并將這些信息傳輸至 C2 服務(wù)器，進(jìn)一步侵犯用戶隱私。

為防范此類威脅，建議用戶僅從 Google Play 和 App Store 等信譽(yù)良好的平臺下載應(yīng)用程序，并及時使用最新的安全補(bǔ)丁更新設(shè)備。此外，利用信譽(yù)良好的移動安全產(chǎn)品，如 K7 Mobile Security，也有助于檢測和防范這些類型的惡意軟件攻擊。

參考及來源：https://gbhackers.com/android-malware-disguised-as-deepseek/