تطبيق Fake DeepSeek AI ينشر برنامج الحصان الطروادة المصرفي

تروجان البنكي الجديد لنظام الأندرويد، OctoV2، ينتشر تحت غطاء الروبوت الذكي الشائع DeepSeek، تحذر الباحثات في مجال الأمن السيبراني في K7.

البرمجة الخبيثة تخدع المستخدمين لتثبيت تطبيق DeepSeek المزيف، الذي يقوم بعد ذلك بسرقة بيانات الدخول والمعلومات الحساسة الأخرى.

تبدأ الهجمة بموقع ويب للصيد الاحتيالي، يقلد بدقة منصة DeepSeek الرسمية. عندما ينقر المستخدمون على الرابط، يتم تنزيل ملف APK خبيث يُسمى DeepSeek.apk على أجهزتهم.

بمجرد التثبيت، يعرض التطبيق الوهمي رمزًا مطابقًا لرمز التطبيق DeepSeek الحقيقي، مما يجعله صعب الكشف. عند التشغيل، يطلب من المستخدمين تثبيت “تحديث”. يتيح النقر على زر التحديث إعداد “السماح من هذا المصدر”، مما يسمح بتثبيت تطبيق ثاني بنفسه.

تؤدي هذه النتيجة إلى تثبيت نسختين من البرامج الخبيثة على جهاز الضحية – الأولى تعمل كتطبيق رئيسي (com.hello.world) والأخرى كتطبيق فرعي (com.vgsupervision_kit29).

ثم يطلب التطبيق الفرعي بشكل عنيف تصاريح خدمة الواجهة، ويواصل عرض صفحة الإعدادات حتى يمنح المستخدم الوصول. بمجرد التمكين، يحصل البرنامج الخبيث على تحكم واسع في الجهاز.

عثر الباحثون في مجال الأمن في معامل K7 على أن البرمجيات الخبيثة تستخدم تقنيات تجنب متقدمة. كل من التطبيق الأم والتطبيق الفرعي محميان بكلمة مرور، مما يجعل من الصعب تحليلهما باستخدام أدوات الهندسة العكسية التقليدية. يستخرج التطبيق الأم ملف “.cat” مخفي من مجلد الأصول الخاص به، ويعيد تسميته إلى “Verify.apk”، ويثبته كحزمة فرعية.

بمجرد أن يصبح نشطًا، يفحص البرنامج الضار جهاز الضحية بحثًا عن التطبيقات المثبتة وينقل البيانات إلى خادم الأوامر والتحكم (C2). يستخدم خوارزمية توليد النطاق (DGA) للتواصل مع المشغلين، مما يتيح له تجنب قائمة النطاقات المحظورة.

تحذر الخبراء المستخدمين من الحذر عند تحميل التطبيقات. “استخدم دائمًا منصات موثوقة مثل Google Play أو App Store”، كما ينصح K7 Labs. يمكن أن يساعد الحفاظ على تحديث الأجهزة واستخدام برامج الأمان المحمولة ذات السمعة الطيبة في اكتشاف ومنع مثل هذه التهديدات.