Falsa App DeepSeek AI Diffonde Trojan Bancario

Un nuovo trojan bancario per Android, OctoV2, si diffonde sotto le sembianze del popolare chatbot AI DeepSeek, avvertono i ricercatori di cybersecurity di K7.

Il malware inganna gli utenti a installare una falsa app DeepSeek, che poi ruba le credenziali di accesso e altri dati sensibili.

L’attacco inizia con un sito web di phishing, che imita da vicino la piattaforma ufficiale di DeepSeek. Quando gli utenti cliccano sul link, un file APK maligno chiamato DeepSeek.apk viene scaricato sul loro dispositivo.

Una volta installata, l’app falsa mostra un’icona identica a quella dell’app reale di DeepSeek, rendendo difficile la sua rilevazione. Al momento dell’avvio, invita gli utenti a installare un “aggiornamento”. Cliccando sul pulsante di aggiornamento, viene attivata l’opzione “Consenti da questa fonte”, permettendo a una seconda app di installarsi.

Questo comporta due istanze del malware installate sul dispositivo della vittima: una che agisce come app genitore (com.hello.world) e l’altra come app figlio (com.vgsupervision_kit29).

L’app figlio poi richiede in maniera aggressiva i permessi del Servizio di Accessibilità, mostrando continuamente la pagina delle impostazioni finché l’utente non concede l’accesso. Una volta abilitato, il malware ottiene un controllo estensivo sul dispositivo.

I ricercatori di sicurezza di K7 Labs hanno scoperto che il malware utilizza tecniche di evasione avanzate. Sia l’app principale che quella secondaria sono protette da password, rendendo difficile analizzarle con gli strumenti tradizionali di ingegneria inversa. L’app principale estrae un file “.cat” nascosto dalla sua cartella di risorse, lo rinomina “Verify.apk” e lo installa come il pacchetto secondario.

Una volta attivo, il malware esegue la scansione del dispositivo della vittima per le applicazioni installate e trasmette i dati a un server di Comando e Controllo (C2). Utilizza un Algoritmo di Generazione di Dominio (DGA) per comunicare con i suoi operatori, permettendogli di evitare il blocco dei domini.

Gli esperti avvertono gli utenti di essere prudenti quando scaricano le app. “Utilizzate sempre piattaforme affidabili come Google Play o l’App Store”, consiglia K7 Labs. Mantenere i dispositivi aggiornati e utilizzare software di sicurezza mobile di buona reputazione può aiutare a rilevare e bloccare tali minacce.