La Falsa Aplicación de Inteligencia Artificial DeepSeek se Propaga como un Troyano Bancario

Image by Solen Feyissa, from Unsplash

La Falsa Aplicación de Inteligencia Artificial DeepSeek se Propaga como un Troyano Bancario

Tiempo de lectura: 3 min.

Publicado el Mar 18, 2025

Un nuevo troyano bancario para Android, OctoV2, se está propagando bajo la apariencia del popular chatbot de inteligencia artificial DeepSeek, advierten los investigadores de ciberseguridad en K7.

¿Apurada? ¡Aquí están los datos rápidos!

  • El malware se propaga a través de un sitio de phishing que imita la plataforma oficial de DeepSeek.
  • Instala dos aplicaciones maliciosas, una actuando como padre y la otra como hijo.
  • El malware utiliza los permisos del Servicio de Accesibilidad para controlar los dispositivos infectados.

El malware engaña a los usuarios para que instalen una falsa aplicación de DeepSeek, que luego roba las credenciales de inicio de sesión y otros datos sensibles.

El ataque comienza con un sitio web de phishing, que imita de cerca la plataforma oficial de DeepSeek. Cuando los usuarios hacen clic en el enlace, se descarga un archivo APK malicioso llamado DeepSeek.apk en su dispositivo.

Una vez instalada, la aplicación falsa muestra un icono idéntico al de la aplicación real de DeepSeek, lo que dificulta su detección. Al iniciarla, solicita a los usuarios que instalen una “actualización”. Al hacer clic en el botón de actualización, se habilita la opción “Permitir desde esta fuente”, lo que permite que se instale una segunda aplicación.

Esto resulta en dos instancias del malware instalado en el dispositivo de la víctima, una actuando como una aplicación principal (com.hello.world) y la otra como una aplicación secundaria (com.vgsupervision_kit29).

La aplicación secundaria luego solicita agresivamente los permisos del Servicio de Accesibilidad, mostrando continuamente la página de configuración hasta que el usuario concede el acceso. Una vez habilitado, el malware obtiene un control extenso sobre el dispositivo.

Investigadores de seguridad de K7 Labs descubrieron que el malware utiliza técnicas de evasión avanzadas. Tanto las aplicaciones padre como las hijas están protegidas por contraseña, lo que dificulta su análisis con las herramientas tradicionales de ingeniería inversa. La aplicación padre extrae un archivo oculto “.cat” de su carpeta de activos, lo renombra como “Verify.apk” y lo instala como el paquete hijo.

Una vez activo, el malware escanea el dispositivo de la víctima en busca de aplicaciones instaladas y transmite los datos a un servidor de Comando y Control (C2). Utiliza un Algoritmo de Generación de Dominio (DGA) para comunicarse con sus operadores, lo que le permite evadir la lista negra de dominios.

Los expertos advierten a los usuarios que sean cautelosos al descargar aplicaciones. “Siempre use plataformas de confianza como Google Play o la App Store”, aconseja K7 Labs. Mantener los dispositivos actualizados y usar software de seguridad móvil de buena reputación puede ayudar a detectar y bloquear tales amenazas.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Dejar un comentario

Loader
Loader Ver más