潜伏8大高危指令！仿冒DeepSeek竟能远程开启VNC监控，你的手机可能成为飼料雞

今天小编分享的互联网经验：潜伏8大高危指令！仿冒DeepSeek竟能远程开启VNC监控，你的手机可能成为飼料雞，欢迎阅读。

近日，国产 AI 大模型 DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒 DeepSeek 的恶意应用程式。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产 AI 产品保驾护航。

1．样本基本特征对比

仿冒应用程式名、圖示与正版应用别无二致，普通用户难以分辨真假。

2．样本详细分析

1# 动态分析

恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。

诱导用户请求启用无障碍服务。

程式名、圖示和正版基本一致，且可以同时安装于同一设备中。

与官方正版应用比较，恶意样本运行后的界面如下，直接访问的 DeepSeek 的官网。

正版 DeepSeek 应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。

2# 静态分析

该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下：

样本通过工具创建同名檔案夹，对抗分析工具。

使用伪加密修改 zip 檔案数据的方式让工具误认为存在密码。

使用整体自定义壳进行加固处理。

使用类名、变量名混淆来增加分析难度。

使用动态加载的方式加载恶意子包。

子包功能详细分析：

其关键指令解析如下：

主要信息获取行为如下：

1、获取短信信息。

2、获取通讯录。

3、发送短信。

4、获取应用安装列表。

5、获取 cookie。

6、通过无障碍服务监控用户的点击、输入等行为。

7、窃取 google 验证码。

8、VNC 螢幕监控。

9、通过激活设备管理器和无障碍服务防解除安裝。

3# 网址信息伺服器网址如下：

3．历史溯源

根据分析恶意木马的伺服器指令特征，发现该木马与历史家族 Trojan/Android.Coper 的指令基本一致，如下图所示（左图为该木马，右图为 Trojan/Android.Coper 家族样本）。

该木马家族作为长期活跃的恶意攻击威胁，于 2021 年 7 月被首次披露，安天病毒百科已经收录了该家族样本，见 https://www.virusview.net/malware/Trojan/Android/Coper。该木马初期以伪装成哥伦比亚官方金融应用 "Bancolombia Personas" 进行传播，后续逐步扩展伪装对象至 Chrome 浏览器、Google Play 应用商店、McAfee 安全軟體及 DHL Mobile 等全球知名应用。其攻击链通过仿冒合法程式诱导用户下载并执行恶意代码，进而实现敏感数据窃取，包括但不限于短信内容、通讯录信息及主流社交 / 金融应用的账户凭据，最终对受害者构成隐私泄露与资金安全的双重威胁。

4．分析总结

经综合分析，该恶意样本采用多层伪装机制，其主程式仿冒为 DeepSeek 官方应用，通过诱导性展示目标官网界面降低用户警惕性。在运行阶段，样本通过动态代码加载技术隐蔽加载恶意子包，并建立与 C&C 伺服器的加密通信信道。恶意模块具备多维度数据窃取能力，包括：1、隐私窃取模块（短信 / 联系人 / 应用列表等）；2、界面监控模块（滥用无障碍服务权限实施螢幕内容抓取）；3、指令执行模块（支持远程指令解析，实现功能动态扩展）。攻击链中特别采用界面伪装与恶意行为分离机制，有效规避基础安全检测，最终导致用户敏感信息泄露及设备控制权限沦陷。

安天威胁情报中心已通过实时威胁狩猎系统完成覆盖该家族全量样本的检测规则部署，并联动移动终端防护体系实现安装阻断，为防范 AI 技术滥用场景下的新型网络威胁提供主动防御支撑。