가짜 DeepSeek AI 앱이 은행 트로이 목마를 퍼뜨립니다

새로운 안드로이드 뱅킹 트로이목마, OctoV2가 인기 있는 AI 챗봇 DeepSeek의 이름으로 확산되고 있다는 점을 K7의 사이버 보안 연구자들이 경고하고 있습니다.

이 멀웨어는 사용자들을 속여 가짜 DeepSeek 앱을 설치하도록 만든 후, 로그인 정보와 다른 민감한 데이터를 훔치게 됩니다.

공격은 피싱 웹사이트로 시작되며, 이 웹사이트는 DeepSeek의 공식 플랫폼을 정밀하게 모방합니다. 사용자가 링크를 클릭하면, DeepSeek.apk라는 악성 APK 파일이 사용자의 기기에 다운로드됩니다.

설치한 후, 가짜 앱은 실제 DeepSeek 앱과 동일한 아이콘을 표시하여 탐지하기 어렵게 만듭니다. 앱을 실행하면 사용자에게 “업데이트”를 설치하라는 메시지가 나타납니다. 업데이트 버튼을 클릭하면 “이 출처에서 허용” 설정이 활성화되어 두 번째 앱이 설치될 수 있게 됩니다.

이로 인해 피해자의 기기에 악성 소프트웨어가 두 번 설치되게 됩니다 – 하나는 부모 앱(com.hello.world)으로, 다른 하나는 자식 앱(com.vgsupervision_kit29)으로 작동합니다.

자식 앱은 그 후 집요하게 접근성 서비스 권한을 요청하며, 사용자가 접근을 허용할 때까지 계속해서 설정 페이지를 표시합니다. 한번 활성화되면, 이 악성 소프트웨어는 기기에 대한 광범위한 통제 권한을 얻게 됩니다.

K7 Labs의 보안 연구원들은 이 맬웨어가 고급 회피 기술을 사용한다는 것을 발견했습니다. 부모 앱과 자식 앱 모두 비밀번호로 보호되어 있어, 전통적인 역공학 도구를 사용해 분석하기 어렵습니다. 부모 앱은 자신의 자산 폴더에서 숨겨진 “.cat” 파일을 추출하여 “Verify.apk”로 이름을 바꾸고, 이를 자식 패키지로 설치합니다.

활성화되면, 이 맬웨어는 피해자의 장치에 설치된 애플리케이션을 스캔하고 이 데이터를 명령 및 제어 (C2) 서버로 전송합니다. 도메인 생성 알고리즘 (DGA)을 사용하여 운영자와 통신하며, 이를 통해 도메인 블랙리스트를 회피할 수 있습니다.

전문가들은 앱을 다운로드 할 때 주의를 당부하고 있습니다. K7 랩스는 “항상 Google Play나 App Store 같은 신뢰할 수 있는 플랫폼을 사용하라”고 조언합니다. 디바이스를 최신 상태로 유지하고, 명성이 좋은 모바일 보안 소프트웨어를 사용하면 이러한 위협을 탐지하고 차단하는 데 도움이 됩니다.