今天小編分享的互聯網經驗:潛伏8大高危指令!仿冒DeepSeek竟能遠程開啟VNC監控,你的手機可能成為飼料雞,歡迎閱讀。
近日,國產 AI 大模型 DeepSeek(深度求索)一經推出,憑借其卓越的性能在全球範圍内引發了廣泛關注,與此同時也成為了不法分子聚焦的目标。安天移動安全團隊通過國家計算機病毒應急處理中心的協同分析平台,發現了一批假冒 DeepSeek 的惡意應用程式。針對這一情況,安天移動安全團隊迅速展開了深入分析和關聯拓展,揭示了這些惡意應用的潛在威脅,并采取了相應的防護措施,為用戶安全使用國產 AI 產品保駕護航。
1.樣本基本特征對比
仿冒應用程式名、圖示與正版應用别無二致,普通用戶難以分辨真假。
2.樣本詳細分析
1# 動态分析
惡意應用運行後直接提示更新,點擊後會直接彈出安裝同名惡意子包彈框請求。
誘導用戶請求啟用無障礙服務。
程式名、圖示和正版基本一致,且可以同時安裝于同一設備中。
與官方正版應用比較,惡意樣本運行後的界面如下,直接訪問的 DeepSeek 的官網。
正版 DeepSeek 應用如下,可以看到需要登錄後才能正常使用,運行界面也不一致。
2# 靜态分析
該惡意應用使用了一些對抗手段來對抗逆向分析工具,增加分析難度,逃避安全檢測,具體如下:
樣本通過工具創建同名檔案夾,對抗分析工具。
使用偽加密修改 zip 檔案數據的方式讓工具誤認為存在密碼。
使用整體自定義殼進行加固處理。
使用類名、變量名混淆來增加分析難度。
使用動态加載的方式加載惡意子包。
子包功能詳細分析:
其關鍵指令解析如下:
主要信息獲取行為如下:
1、獲取短信信息。
2、獲取通訊錄。
3、發送短信。
4、獲取應用安裝列表。
5、獲取 cookie。
6、通過無障礙服務監控用戶的點擊、輸入等行為。
7、竊取 google 驗證碼。
8、VNC 螢幕監控。
9、通過激活設備管理器和無障礙服務防解除安裝。
3# 網址信息伺服器網址如下:
3.歷史溯源
根據分析惡意木馬的伺服器指令特征,發現該木馬與歷史家族 Trojan/Android.Coper 的指令基本一致,如下圖所示(左圖為該木馬,右圖為 Trojan/Android.Coper 家族樣本)。
該木馬家族作為長期活躍的惡意攻擊威脅,于 2021 年 7 月被首次披露,安天病毒百科已經收錄了該家族樣本,見 https://www.virusview.net/malware/Trojan/Android/Coper。該木馬初期以偽裝成哥倫比亞官方金融應用 "Bancolombia Personas" 進行傳播,後續逐步擴展偽裝對象至 Chrome 浏覽器、Google Play 應用商店、McAfee 安全軟體及 DHL Mobile 等全球知名應用。其攻擊鏈通過仿冒合法程式誘導用戶下載并執行惡意代碼,進而實現敏感數據竊取,包括但不限于短信内容、通訊錄信息及主流社交 / 金融應用的賬戶憑據,最終對受害者構成隐私洩露與資金安全的雙重威脅。
4.分析總結
經綜合分析,該惡意樣本采用多層偽裝機制,其主程式仿冒為 DeepSeek 官方應用,通過誘導性展示目标官網界面降低用戶警惕性。在運行階段,樣本通過動态代碼加載技術隐蔽加載惡意子包,并建立與 C&C 伺服器的加密通信信道。惡意模塊具備多維度數據竊取能力,包括:1、隐私竊取模塊(短信 / 聯系人 / 應用列表等);2、界面監控模塊(濫用無障礙服務權限實施螢幕内容抓取);3、指令執行模塊(支持遠程指令解析,實現功能動态擴展)。攻擊鏈中特别采用界面偽裝與惡意行為分離機制,有效規避基礎安全檢測,最終導致用戶敏感信息洩露及設備控制權限淪陷。
安天威脅情報中心已通過實時威脅狩獵系統完成覆蓋該家族全量樣本的檢測規則部署,并聯動移動終端防護體系實現安裝阻斷,為防範 AI 技術濫用場景下的新型網絡威脅提供主動防御支撐。
(相關鏈接:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=E1FF086B629CE744A7C8DBE6F3DB0F68)
5.防護建議
1、建議從官方網站、各大手機廠商應用平台下載正版應用。
2、對與請求無障礙服務和激活設備管理器的行為提高警惕,不輕易授予相關權限。
3、在手機設定中關閉 " 允許安裝未知來源應用 " 的選項。
4、定期在設定 - 應用管理中查看近期安裝的陌生程式。
5、對設備電量異常消耗的情況予以關注。
6、養成定期使用手機管家等具有殺毒功能應用的使用習慣,及時查殺病毒。
6.關聯樣本
銀行間諜木馬:
除此之外,通過内部大數據關聯分析發現,近期除了上面提到的銀行木馬外,還存在其他冒用 DeepSeek 名義從事詐騙活動的情況,如下為部分關聯樣本信息:
