伪装成 DeepSeek 的 Android 恶意软件窃取用户登录凭证

最近，一种伪装成 DeepSeek AI 应用程序的 Android 恶意软件出现，构成了严重的网络安全威胁。

该恶意软件旨在诱使用户下载 DeepSeek 应用程序的虚假版本，进而通过窃取登录凭据等敏感信息，危害用户设备的安全。

恶意软件传播和安装

该恶意软件通过网络钓鱼链接传播，如 hxxps://deepsekk [.] sbs，这些链接会引导用户下载以哈希值命名的恶意 APK 文件 DeepSeek.apk（哈希值为 e1ff086b629ce744a7c8dbe6f3db0f68）。

下载页面

一旦安装，该应用程序会与真正的 DeepSeek 图标一同出现在设备的应用程序抽屉中，致使用户难以将其与合法版本区分开来。

启动虚假应用程序后，系统会提示用户进行更新，而这一操作需要用户启用 “允许来自此来源” 选项，并安装附加应用程序。这一过程会导致设备上安装两个恶意软件实例，且每个实例都有不同的软件包名称，分别为 com.hello.world 和 com.vgsupervision_kit291。

技术分析和影响

该恶意应用程序采用了先进的规避技术，其中包括对 APK 文件进行密码保护，这使得使用 APKTool 和 Jadx 等标准工具进行分析变得极为复杂。不过，Android SDK 工具 aapt 能够成功解析该应用程序。

名为 com.vgsupervision_kit29 的儿童应用程序，频繁提示用户启用辅助服务，以获取在设备上提升权限的许可。

儿童应用安装过程

根据 K7 安全实验室的报告，该应用程序运用域生成算法（DGA）进行命令和控制（C2）通信，这使得跟踪和阻止其活动变得更加困难。

该恶意软件会扫描设备中已安装的应用程序，并将这些信息传输至 C2 服务器，进一步侵犯用户隐私。

为防范此类威胁，建议用户仅从 Google Play 和 App Store 等信誉良好的平台下载应用程序，并及时使用最新的安全补丁更新设备。此外，利用信誉良好的移动安全产品，如 K7 Mobile Security，也有助于检测和防范这些类型的恶意软件攻击。