
Image by Solen Feyissa, from Unsplash
La Falsa Aplicación de Inteligencia Artificial DeepSeek se Propaga como un Troyano Bancario
Un nuevo troyano bancario para Android, OctoV2, se está propagando bajo la apariencia del popular chatbot de inteligencia artificial DeepSeek, advierten los investigadores de ciberseguridad en K7.
¿Apurada? ¡Aquí están los datos rápidos!
- El malware se propaga a través de un sitio de phishing que imita la plataforma oficial de DeepSeek.
- Instala dos aplicaciones maliciosas, una actuando como padre y la otra como hijo.
- El malware utiliza los permisos del Servicio de Accesibilidad para controlar los dispositivos infectados.
El malware engaña a los usuarios para que instalen una falsa aplicación de DeepSeek, que luego roba las credenciales de inicio de sesión y otros datos sensibles.
El ataque comienza con un sitio web de phishing, que imita de cerca la plataforma oficial de DeepSeek. Cuando los usuarios hacen clic en el enlace, se descarga un archivo APK malicioso llamado DeepSeek.apk en su dispositivo.
Una vez instalada, la aplicación falsa muestra un icono idéntico al de la aplicación real de DeepSeek, lo que dificulta su detección. Al iniciarla, solicita a los usuarios que instalen una “actualización”. Al hacer clic en el botón de actualización, se habilita la opción “Permitir desde esta fuente”, lo que permite que se instale una segunda aplicación.
Esto resulta en dos instancias del malware instalado en el dispositivo de la víctima, una actuando como una aplicación principal (com.hello.world) y la otra como una aplicación secundaria (com.vgsupervision_kit29).
La aplicación secundaria luego solicita agresivamente los permisos del Servicio de Accesibilidad, mostrando continuamente la página de configuración hasta que el usuario concede el acceso. Una vez habilitado, el malware obtiene un control extenso sobre el dispositivo.
Investigadores de seguridad de K7 Labs descubrieron que el malware utiliza técnicas de evasión avanzadas. Tanto las aplicaciones padre como las hijas están protegidas por contraseña, lo que dificulta su análisis con las herramientas tradicionales de ingeniería inversa. La aplicación padre extrae un archivo oculto “.cat” de su carpeta de activos, lo renombra como “Verify.apk” y lo instala como el paquete hijo.
Una vez activo, el malware escanea el dispositivo de la víctima en busca de aplicaciones instaladas y transmite los datos a un servidor de Comando y Control (C2). Utiliza un Algoritmo de Generación de Dominio (DGA) para comunicarse con sus operadores, lo que le permite evadir la lista negra de dominios.
Los expertos advierten a los usuarios que sean cautelosos al descargar aplicaciones. “Siempre use plataformas de confianza como Google Play o la App Store”, aconseja K7 Labs. Mantener los dispositivos actualizados y usar software de seguridad móvil de buena reputación puede ayudar a detectar y bloquear tales amenazas.
Dejar un comentario
Cancelar