Recientemente ha surgido una amenaza a la ciberseguridad en forma de malware para Android que se hace pasar por la aplicación DeepSeek AI.
Este software malicioso está diseñado para engañar a los usuarios para que descarguen una versión falsa de la aplicación DeepSeek, que luego compromete la seguridad de su dispositivo al robar información confidencial, como las credenciales de inicio de sesión.
El malware se propaga a través de enlaces de phishing, como hxxps://deepsekk[.]sbs, que llevan a los usuarios a descargar un archivo APK malicioso llamado DeepSeek.apk con el hash e1ff086b629ce744a7c8dbe6f3db0f68.
Una vez instalada, la aplicación aparece con el ícono genuino de DeepSeek en el cajón de aplicaciones del dispositivo, lo que dificulta a los usuarios distinguirla de la versión legítima.
Al iniciar la aplicación falsa, se solicita a los usuarios que la actualicen, lo que requiere habilitar la opción «Permitir desde esta fuente» e instalar una aplicación adicional.
Esto da como resultado que se instalen dos instancias del malware en el dispositivo, cada una con un nombre de paquete diferente: com.hello.world y com.vgsupervision_kit291.
La aplicación maliciosa emplea técnicas de evasión avanzadas, incluida la protección con contraseña para los archivos APK, lo que complica el análisis utilizando herramientas estándar como APKTool y Jadx.
Sin embargo, la herramienta SDK de Android aapt logró analizar la aplicación.
La aplicación secundaria, com.vgsupervision_kit29, solicita con frecuencia a los usuarios que habiliten los Servicios de Accesibilidad, lo que les permite obtener permisos elevados en el dispositivo.
Según el informe de K7 Security Labs, esta aplicación utiliza un algoritmo de generación de dominio (DGA) para la comunicación de comando y control (C2), lo que dificulta el seguimiento y bloqueo de sus actividades.
El malware escanea el dispositivo en busca de aplicaciones instaladas y transmite esta información al servidor C2, comprometiendo aún más la privacidad del usuario.
Para protegerse contra este tipo de amenazas, se recomienda a los usuarios que descarguen aplicaciones sólo de plataformas acreditadas como Google Play y App Store, y que mantengan sus dispositivos actualizados con los últimos parches de seguridad.
El uso de un producto de seguridad móvil de buena reputación, como K7 Mobile Security, también puede ayudar a detectar y prevenir este tipo de ataques de malware.
