Специалисты K7 Labs нашли новую вредоносную программу для Android, которую злоумышленники распространяют под видом чатбота Deepseek AI. Они назвали ее OctoV2.
Атака начинается с ссылки на поддельный сайт, который очень похож на официальный сайт Deepseek AI. Пользователям предлагается скачать приложение под названием «DeepSeek.apk». После установки вирусная программа выдает себя за оригинальное приложение, используя его значок.
Вредоносное приложение просит пользователя разрешить установку программ из неизвестных источников, а затем устанавливает две вредоносные программы — «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.
«Дочернее» приложение запрашивает доступ к специальным функциям операционной системы Android. Исследователи столкнулись с трудностями при анализе «родительского» приложения из-за парольной защиты.
Тем не менее им удалось выяснить, что «родительское» приложение проверяет наличие файла с расширением «.cat» и устанавливает дополнительный вредоносный пакет.
Троян OctoV2 использует алгоритм генерации доменов (DGA), чтобы постоянно менять имена серверов управления и избежать блокировок. Он также отправляет информацию о всех установленных приложениях на зараженном устройстве на серверы злоумышленников.
Ранее банковский вирус Octo выдавал себя за Google Chrome и NordVPN.
Специалисты советуют быть осторожными при загрузке приложений и избегать установку программ из ненадежных источников.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
