Атака начинается с обманной ссылки, ведущей на фальшивый сайт, почти идентичный официальному сайту Deepseek AI. Пользователям предлагается загрузить приложение «DeepSeek.apk». После установки вредонос маскируется под подлинное приложение, копируя его значок.
Вредонос запрашивает разрешение на установку приложений из ненадежных источников, а затем устанавливает две вредоносные программы: «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29. «Дочернее» приложение настойчиво требует у пользователя доступ к функциям Accessibility Service Android.
Анализ «родительского» приложения был затруднен из-за защиты паролем, что отражает рост числа APK-файлов, защищенных от анализа. Однако эксперты выяснили, что «родительское» приложение проверяет наличие файла с расширением «.cat» и устанавливает дополнительный вредоносный пакет.
OctoV2 также использует DGA для смены адресов серверов управления и обхода блокировок и отправляет злоумышленникам данные о всех установленных приложениях. До этого Octo маскировался под Google Chrome и NordVPN. Специалисты советуют проявлять бдительность при загрузке приложений и избегать установки из сомнительных источников.
Ранее в Госдуме рассказали, как мошенники распространяют вирусы через Telegram. Также стало известно, как технологии следят за нами каждый день.