Sahte DeepSeek AI Uygulaması Bankacılık Truva Atı’nı Yayıyor

Yeni bir Android bankacılık truva atı, OctoV2, popüler AI sohbet botu DeepSeek kılığına bürünerek yayılıyor, K7’deki siber güvenlik araştırmacıları uyarıyor.

Bu kötü amaçlı yazılım, kullanıcıları sahte bir DeepSeek uygulamasını yüklemeye ikna eder ve ardından giriş bilgilerini ve diğer hassas verileri çalar.

Saldırı, DeepSeek’in resmi platformunu yakından taklit eden bir phishing web sitesiyle başlar. Kullanıcılar linki tıkladığında, cihazlarına DeepSeek.apk adında kötü niyetli bir APK dosyası indirilir.

Bir kez yüklendiğinde, sahte uygulama, gerçek DeepSeek uygulaması ile aynı ikonu göstererek tespit edilmesini zorlaştırır. Açıldığında, kullanıcılardan bir “güncellemeyi” yüklemelerini ister. Güncelleme düğmesini tıklamak, “Bu kaynaktan izin ver” ayarını etkinleştirir, ikinci bir uygulamanın kendisini yükleme izni verir.

Bu durum, kurbanın cihazına zararlı yazılımın iki kez yüklenmesi sonucunu doğurur – biri ana uygulama (com.hello.world) olarak, diğeri ise çocuk uygulama (com.vgsupervision_kit29) olarak hareket eder.

Çocuk uygulama daha sonra Engellilik Hizmeti izinlerini sert bir şekilde talep eder, kullanıcı erişim izni verene kadar ayarlar sayfasını sürekli olarak gösterir. Bir kez etkinleştirildiğinde, zararlı yazılım cihaz üzerinde geniş kontrol sahibi olur.

K7 Labs’teki güvenlik araştırmacıları, zararlı yazılımın ileri düzeyde kaçınma teknikleri kullandığını buldu. Hem ana hem de çocuk uygulamalar parola ile korunuyor, bu da onları geleneksel tersine mühendislik araçlarıyla analiz etmeyi zorlaştırıyor. Ana uygulama, varlık klasöründen gizli bir “.cat” dosyası çıkarır, ona “Verify.apk” adını verir ve bunu çocuk paketi olarak yükler.

Bir kez aktif hale geldiğinde, zararlı yazılım, kurbanın cihazında yüklü uygulamaları tarar ve verileri bir Komut ve Kontrol (C2) sunucusuna ileterek Domain Generation Algorithm (DGA) kullanır. Bu sayede, domain karalistesinden kaçınmayı başarır.

Uzmanlar, kullanıcıları uygulama indirirken dikkatli olmaları konusunda uyarıyor. K7 Labs, “Her zaman güvendiğiniz platformları, örneğin Google Play veya App Store’u kullanın,” diye öneriyor. Cihazları güncel tutmak ve saygın mobil güvenlik yazılımlarını kullanmak, bu tür tehditleri tespit etmeye ve engellemeye yardımcı olabilir.