Falso App DeepSeek AI Espalha Trojan Bancário

Image by Solen Feyissa, from Unsplash

Falso App DeepSeek AI Espalha Trojan Bancário

Tempo de leitura: 3 minuto

Última atualização: Mar 18, 2025

Um novo trojan bancário para Android, o OctoV2, está se disseminando sob o disfarce do popular chatbot de IA DeepSeek, alertam os pesquisadores de cibersegurança da K7.

Com pressa? Aqui estão os fatos rápidos!

  • O malware se espalha por meio de um site de phishing que imita a plataforma oficial da DeepSeek.
  • Ele instala dois aplicativos maliciosos, um atuando como ‘parent’ e o outro como ‘child’.
  • O malware usa permissões do Serviço de Acessibilidade para controlar os dispositivos infectados.

O malware engana os usuários para instalar um falso aplicativo DeepSeek, que então rouba credenciais de login e outros dados sensíveis.

O ataque começa com um site de phishing, que imita de perto a plataforma oficial da DeepSeek. Quando os usuários clicam no link, um arquivo APK malicioso chamado DeepSeek.apk é baixado para o dispositivo deles.

Uma vez instalado, o aplicativo falso exibe um ícone idêntico ao aplicativo real DeepSeek, tornando-o difícil de detectar. Ao ser iniciado, ele solicita aos usuários que instalem uma “atualização”. Clicar no botão de atualização ativa a configuração “Permitir deste fonte”, permitindo que um segundo aplicativo se instale.

Isso resulta em duas instâncias do malware sendo instalado no dispositivo da vítima – uma atuando como um aplicativo pai (com.hello.world) e a outra como um aplicativo filho (com.vgsupervision_kit29).

O aplicativo filho, então, solicita agressivamente as permissões do Serviço de Acessibilidade, exibindo continuamente a página de configurações até que o usuário conceda acesso. Uma vez habilitado, o malware ganha amplo controle sobre o dispositivo.

Pesquisadores de segurança da K7 Labs descobriram que o malware usa técnicas avançadas de evasão. Tanto os aplicativos pai quanto filho são protegidos por senha, tornando difícil analisá-los com as ferramentas tradicionais de engenharia reversa. O aplicativo pai extrai um arquivo “.cat” oculto de sua pasta de ativos, renomeia-o como “Verify.apk” e o instala como o pacote filho.

Uma vez ativo, o malware verifica o dispositivo da vítima em busca de aplicativos instalados e transmite os dados para um servidor de Comando e Controle (C2). Ele usa um Algoritmo de Geração de Domínio (DGA) para se comunicar com seus operadores, permitindo que ele evite o bloqueio de domínios.

Especialistas alertam os usuários a terem cautela ao baixar aplicativos. “Sempre use plataformas confiáveis como o Google Play ou a App Store”, aconselha a K7 Labs. Manter os dispositivos atualizados e usar um software de segurança móvel de boa reputação pode ajudar a detectar e bloquear tais ameaças.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback