Android 银行木马:OctoV2，伪装成 Deepseek AI

独眼情报 · 公众号 · · 2025-03-15 00:00

正文

请到「今天看啥」查看全文

"时，系统会提示用户启用" 允许来自此来源 "选项并安装一个额外的应用，如图5所示。

完成此过程后，设备的应用中会出现另一个Deepseek应用图标，如图6所示。根据图片，我们得出结论，设备上安装了两个Deepseek恶意软件实例，每个实例都有不同的包名。

为了验证这一点，Logcat日志显示了两个APK的安装过程，如下图7所示。

从这里开始，我们将包 "com.hello.world" 称为父应用，将 "com.vgsupervision_kit29" 称为子应用。一旦子应用 "com.vgsupervision_kit29" 安装在设备上，它会频繁地在设备上弹出辅助功能服务设置选项，如图8所示，直到用户最终允许该应用启用辅助功能服务。

技术分析

为了进行分析，我们尝试使用7-Zip提取父apk "deepseek.apk" ，但它提示我们输入密码，尽管我们能够成功地在设备上安装和执行该应用。这种情况很不寻常，我们观察到在我们的收集中，这类受密码保护的恶意APK文件数量正在迅速增加。此外，如图9所示，APKTool和Jadx等逆向工具无法解析这些APK文件。