近日，国产 AI 大模子 DeepSeek（深度求索）也曾推出，凭借其超卓的性能在群众限制内激发了平方矜恤，与此同期也成为了犯法分子聚焦的指标。安天挪动安全团队通过国度联想机病毒济急处理中心的协同分析平台，发现了一批假冒 DeepSeek 的坏心诈骗智商。针对这一情况，安天挪动安全团队飞速伸开了深刻分析和关联拓展，揭示了这些坏心诈骗的潜在要挟，并选择了相应的防护要领，为用户安全使用国产 AI 居品添砖加瓦。

1．样本基本特征对比

仿冒诈骗智商名、图标与正版诈骗别无二致，普通用户难以远隔真假。

2．样本戒备分析

1#   动态分析

坏心诈骗启动后平直教导更新，点击后会平直弹出安设同名坏心子包弹框肯求。

指引用户肯求启用无约束作事。

智商名、图标和正版基本一致，且不错同期安设于团结开发中。

与官正派版诈骗相比，坏心样本启动后的界面如下，平直探听的 DeepSeek 的官网。

正版 DeepSeek 诈骗如下，不错看到需要登录后才能正常使用，启动界面也不一致。

2#   静态分析

该坏心诈骗使用了一些造反技巧来造反逆向分析器具，加多分析难度，躲闪安全检测，具体如下：

样本通过器具创建同名文献夹，造反分析器具。

使用伪加密修改 zip 文献数据的花式让器具误觉得存在密码。

使用全体自界说壳进行加固处理。

使用类名、变量名欺压来加多分析难度。

使用动态加载的花式加载坏心子包。

子包功能戒备分析：

其关节指示默契如下：

主要信息获得行动如下：

1、获得短信信息。

2、获得通讯录。

3、发送短信。

4、获得诈骗安设列表。

5、获得 cookie。

6、通过无约束作事监控用户的点击、输入等行动。

7、窃取 google 考据码。

8、VNC 屏幕监控。

9、通过激活开发管制器和无约束作事防卸载。

3#   网址信息作事器网址如下：

3．历史溯源

根据分析坏心木马的作事器指示特征，发现该木马与历史眷属 Trojan/Android.Coper 的指示基本一致，如下图所示（左图为该木马，右图为 Trojan/Android.Coper 眷属样本）。

该木马眷属算作永远活跃的坏心抨击要挟，于 2021 年 7 月被初次浮现，安天病毒百科已经收录了该眷属样本，见 https://www.virusview.net/malware/Trojan/Android/Coper。该木马初期以伪装成哥伦比亚官方金融诈骗" Bancolombia Personas "进行传播，后续逐步推广伪装对象至 Chrome 浏览器、Google Play 诈骗商店、McAfee 安全软件及 DHL Mobile 等群众着名诈骗。其抨击链通过仿冒正当智商指引用户下载并施犯科意代码，进而完满明锐数据窃取，包括但不限于短信实质、通讯录信息及主流酬酢 / 金融诈骗的账户把柄，最终对受害者组成阴私泄露与资金安全的双重要挟。

4．分析转头

经概括分析，该坏心样本取舍多层伪装机制，其主智商仿冒为 DeepSeek 官方诈骗，通过指引性展示指标官网界面裁减用户警惕性。在启动阶段，样本通过动态代码加载技艺隐敝加载坏心子包，并成立与 C&C 作事器的加密通讯信说念。坏心模块具备多维度数据窃取才调，包括：1、阴私窃取模块（短信 / 关系东说念主 / 诈骗列表等）；2、界面监控模块（滥用无约束作事权限实施屏幕实质握取）；3、指示试验模块（支柱良友指示默契，完满功能动态推广）。抨击链中相当取舍界面伪装与坏心行动分离机制，灵验隐敝基础安全检测，最终导致用户明锐信息泄露及开发独揽权限弃世。

安天要挟谍报中心已通过实时要挟狩猎系统完成袒护该眷属全量样本的检测端正部署，并联动挪动终局防护体系完满安设阻断，为驻防 AI 技艺滥用场景下的新式网罗要挟提供主动防护支柱。

（关联辘集：

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=E1FF086B629CE744A7C8DBE6F3DB0F68）

5．防护提倡

1、提倡从官方网站、各大手机厂商诈骗平台下载正版诈骗。

2、对与肯求无约束作事和激活开发管制器的行动提升警惕，不精辟授予关联权限。

3、在手机设立中关闭 " 允许安设未知开头诈骗 " 的选项。

4、依期在设立 - 诈骗管制中检察近期安设的生分智商。

5、对开发电量荒谬花费的情况赐与矜恤。

6、养成依期使用手机管家等具有杀毒功能诈骗的使用民风，实时查杀病毒。

6．关联样本

银行间谍木马：

除此以外，通过里面大数据关联分析发现，近期除了上头提到的银行木马外，还存在其他冒用 DeepSeek 口头从事骗取行动的情况，如下为部分关联样本信息：

云开体育