概述

近年来,人工智能(AI)技术迅猛发展,成为推动社会进步和产业变革的重要力量。AI 在各个领域的广泛应用,极大地提升了生产效率和生活质量。特别是在搜索技术方面,AI 的引入使得搜索结果更加精准、高效。在这一背景下,DeepSeek 作为一款领先的智能搜索与应用平台,凭借其强大的 AI 驱动搜索能力和便捷的用户体验,迅速在全球范围内积累了大量用户,成为科技领域的热点。

DeepSeek 在全球的大热也为网络犯罪分子提供了极具吸引力的诱饵话题,近期奇安信威胁情报中心和病毒响应中心发现大量仿冒 DeepSeek 平台的钓鱼站点出现,并趁机传播伪装为 DeepSeek 名称的 Android 应用和 Windows 程序。

Android恶意程序

此次通过国家计算机病毒协同分析平台发现的Android攻击样本,经奇安信病毒响应中心分析可知,该样本在用户可见的 AppName 和 Icon 方面仿冒为 DeepSeek,而在安全分析人员常用的指纹数据上(如 APPID 和 Cert 等)使用测试数据伪装,以躲避关联与溯源分析。攻击样本采用嵌套结构,将核心恶意程序存储在母包 Assets 中,在用户运行时诱导安装,我们分别将其称为 DropperAPP 和 CoreAPP。

DropperAPP 基本信息如下表:

样本文件名

DeepSeek.apk

APPName

DeepSeek

APPID

com.hello.world

Icon

样本MD5

e1ff086b629ce744a7c8dbe6f3db0f68

CertHash(MD5)

20f46148b72d8e5e5ca23d37a4f41490

样本大小

12.80MB

Version

1.0

CoreAPP 基本信息如下表:

样本文件名

com.vgsupervision_kit29

APPName

DeepSeek

APPID

com.vgsupervision_kit29

Icon

样本MD5

99fe380d9ef96ddc4f71560eb8888c00

CertHash(MD5)

20f46148b72d8e5e5ca23d37a4f41490

样本大小

8.27MB

Version

1.0

DropperAPP分析

DropperAPP 分析的核心目的是伪装成 DeepSeek 并诱导用户安装 CoreAPP,去除大量的垃圾代码后,其结构也比较简单,主要包含系统的一个 WebView 组件和一些诱导窗口。

首先,用户使用 DropperAPP 时,WebWiew 会加载一个硬编码的 html 页面,截图如下:

用户选择更新,则会进入安装 CoreAPP 的流程,因为 MainActivity 中有安装应用的监听,用户安装成功后,则会打开安装的 CoreAPP;如果检测未成功安装 CoreAPP 则会使用 chorme 程序加载 “https://www.google.com” 地址,因此,此伪装应用并不具备真实的 DeepSeek 相关功能。部分主要实现源码如下:

CoreAPP分析

CoreAPP 是一个 Banker 类木马,多家安全厂商已对其进行了识别,识别情况如下。

其行为也能够从其清单文件中可见一斑,主要包含短信监听/发送、窃取电话号码和拨打电话等。

关联溯源分析

此次发现的攻击样本投放在钓鱼站点 “deepsek.icu” 中,虽然站点已经失效,但从奇安信威胁情报中心中可以看到监控到了恶意样本投递行为,并成功识别。

Windows恶意程序

针对 Windows 平台,奇安信威胁情报中心同样发现恶意程序在文件名和图标上伪装为 DeepSeek,运行后会展示安装 DeepSeek 的虚假界面,基本信息如下:

奇安信情报沙箱报告链接

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZT-RGgKh6wn_HCy8z5u

样本文件名

DeepSeek.exe

样本MD5

a7389982054233436020f0ada0765a48

样本类型

PE32 EXE

样本大小

117.94 MB (123666360字节)

沙箱分析

将该样本上传奇安信情报沙箱分析后,可以看到沙箱基于智能的恶意行为综合判断已经识别出文件恶意并给出了 10 分的恶意评分。

静态信息显示样本使用 DeepSeek 图标,文件元数据的产品名称也伪装为 DeepSeek。

样本带有数字签名,为 ”K.MY TRADING TRANSPORT COMPANY LIMITED”。

流文件信息中也出现 ”Uninstall deepseek.exe” 文件名,nsis-script 的存在表明该样本为 NSIS 安装包。

运行的 DeepSeek.exe 所在目录路径出现另一款 AI 工具 Sora 的名字,APP 运行参数出现 resources\\app.asar,疑似为 Electron 框架编写的应用。

运行截图显示该样本伪造出安装界面用以迷惑受害者。

详细分析

安装包程序中存在一个 app-32.7z 文件,解压该文件可以在其中发现沙箱运行结果中出现的 deepseek.exe 和 resources\\app.asar 文件。

进一步解包 app.asar,发现恶意代码入口文件为 crypto.js。

crypto.js 包含俄语注释,读取 loadModule.js 中的代码,进行混淆处理。混淆处理后的代码由 outMutation.js 模块中的 jumpUp 函数运行。

loadModule.js 代码使用的 link_proxy 为 hxxps://calendar.app.google/a1vRBeuK3n6NmKZC7,借助 Google 的 Calender 应用传递下载后续载荷的 URL,这也能解释为何沙箱中会出现对 calendar.app.google 域名的访问,并且这种传递方式可以将其隐藏在其他 Google 域名(如fonts.googleapis.com)中,避免被发现。

下载的后续的链接为 ”hxxp://95.179.216.217/tKLw2yGI2RbiCfXnIbL7T==”。服务器响应内容的首部包括用于载荷 AES 解密的 key 和 iv。

解密后的 JS 脚本会窃取机器上多款加密钱包的数据,在窃密脚本中同样出现俄文字符串。

总结

DeepSeek 的兴起让很多人开始尝试使用该工具,这也成为了网络犯罪分子传播恶意软件的绝佳机会。用户如果想体验相关应用,一定要从官方网站和应用商店等正规渠道下载,擦亮眼睛警惕伪造的网站和程序,切不可受攻击者鱼目混珠之法欺骗,因误装恶意程序而造成敏感数据和隐私泄露。

奇安信威胁情报中心和病毒响应中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

若需运行或安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOC

MD5

e1ff086b629ce744a7c8dbe6f3db0f68

99fe380d9ef96ddc4f71560eb8888c00

a7389982054233436020f0ada0765a48

78e180ff48d68ca48bb5fe41c6903ece

061a8f66ec2f86f9668c0c157ed54b6c

51cdcf958dece5be0ea9719d243f9348

fcf27cffc2cb65cc59e4023719946ab8

C&C

deepsek.icu

deepseek-6phm9gg3zoacooy.app-tools.info

95.179.216.217:80

URL

hxxps://calendar.app.google/a1vRBeuK3n6NmKZC7

hxxp://95.179.216.217/tKLw2yGI2RbiCfXnIbL7T==

参考链接

[1].https://app.any.run/tasks/c3e4e68f-c526-4509-add5-0057832237f0

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。