Специалисты K7 Labs обнаружили новую вредоносную кампанию, в которой злоумышленники распространяют Android-троян, предназначенный для кражи банковской информации, под видом популярного чат-бота Deepseek AI. Этот троян получил название OctoV2.
Атака начинается с фишинговой ссылки, которая ведет на поддельный сайт, почти полностью копирующий официальный сайт Deepseek AI. Пользователям предлагается скачать приложение «DeepSeek.apk». После установки вредоносная программа маскируется под легитимное приложение, используя его иконку.
Вредонос запрашивает разрешение на установку приложений из неизвестных источников, а затем устанавливает два вредоносных приложения: «родительское» приложение com.hello.world и «дочернее» приложение com.vgsupervision_kit29. «Дочернее» приложение настойчиво запрашивает у пользователя доступ к функциям Accessibility Service Android.
Анализ «родительского» приложения был затруднен из-за защиты паролем, что свидетельствует о растущей тенденции защиты APK-файлов от анализа. Однако экспертам удалось установить, что «родительское» приложение проверяет наличие файла с расширением «.cat» и устанавливает дополнительный вредоносный пакет.
OctoV2 также использует алгоритм генерации доменов (DGA) для смены адресов серверов управления, что позволяет обходить блокировки, и отправляет злоумышленникам информацию о всех установленных приложениях на устройстве. Ранее Octo маскировался под Google Chrome и NordVPN. Специалисты рекомендуют проявлять осторожность при загрузке приложений и избегать установки из ненадежных источников.
Как сообщалось ранее — Вашингтон выучил уроки марша Пригожина: Переворота никто не заметит
