Интернет17.03.2025 - 17:27
Android-троян OctoV2 маскируется под Deepseek AI для кражи банковских данных
Специалисты K7 Labs обнаружили новую вредоносную кампанию, в рамках которой киберпреступники скрывают Android-троян для кражи банковских данных под личиной популярного чат-бота Deepseek AI. Данный троян получил название OctoV2.
Фото: Kandinsky by Sber AI
Атака начинается с обманной ссылки, которая ведет на поддельный сайт, практически идентичный официальному ресурсу Deepseek AI. Пользователям предлагается загрузить файл приложения «DeepSeek.apk». После установки вредоносное ПО маскируется под оригинальное приложение, копируя его иконку.
Вредоносное ПО запрашивает разрешение на установку приложений из ненадежных источников и затем устанавливает две вредоносные программы: «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.
Дочернее приложение активно требует у пользователя доступ к функциям Accessibility Service Android.
Анализ «родительского» приложения оказался затруднительным из-за наличия защиты паролем, что указывает на увеличение числа APK-файлов, защищенных от анализа. Тем не менее, эксперты выяснили, что «родительское» приложение проверяет наличие файла с расширением «.cat» и устанавливает дополнительный вредоносный пакет.
OctoV2 также применяет DGA для изменения адресов серверов управления и обхода блокировок, а также отправляет злоумышленникам информацию обо всех установленных приложениях. Ранее Octo маскировался под Google Chrome и NordVPN. Специалисты рекомендуют быть осторожными при загрузке приложений и избегать установки из ненадежных источников.
Ранее в Госдуме говорили о том, как мошенники распространяют вирусы через Telegram. Также стало известно, как современные технологии следят за нами каждый день.
Автор: Дмитрий Иванов
Новые комментарии