潜伏8大高危指令！仿冒DeepSeek竟能远程开启VNC监控，你的手机可能成为肉鸡

近日，国产AI大模型DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒DeepSeek的恶意应用程序。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产AI产品保驾护航。

1．样本基本特征对比

仿冒应用程序名、图标与正版应用别无二致，普通用户难以分辨真假。

2．样本详细分析

1# 动态分析

恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。

诱导用户请求启用无障碍服务。

程序名、图标和正版基本一致，且可以同时安装于同一设备中。

与官方正版应用比较，恶意样本运行后的界面如下，直接访问的DeepSeek的官网。

正版DeepSeek应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。

2# 静态分析

该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下：

样本通过工具创建同名文件夹，对抗分析工具。

使用伪加密修改zip文件数据的方式让工具误认为存在密码。

使用整体自定义壳进行加固处理。

使用类名、变量名混淆来增加分析难度。

使用动态加载的方式加载恶意子包。

子包功能详细分析：

其关键指令解析如下：

主要信息获取行为如下：
1、获取短信信息。

2、获取通讯录。

3、发送短信。

4、获取应用安装列表。

5、获取cookie。

6、通过无障碍服务监控用户的点击、输入等行为。

7、窃取google验证码。

8、VNC屏幕监控。

9、通过激活设备管理器和无障碍服务防卸载。

3# 网址信息服务器网址如下：

3．历史溯源

根据分析恶意木马的服务器指令特征，发现该木马与历史家族Trojan/Android.Coper的指令基本一致，如下图所示（左图为该木马，右图为Trojan/Android.Coper家族样本）。

该木马家族作为长期活跃的恶意攻击威胁，于2021年7月被首次披露，安天病毒百科已经收录了该家族样本，见https://www.virusview.net/malware/Trojan/Android/Coper。该木马初期以伪装成哥伦比亚官方金融应用“Bancolombia Personas”进行传播，后续逐步扩展伪装对象至Chrome浏览器、Google Play应用商店、McAfee安全软件及DHL Mobile等全球知名应用。其攻击链通过仿冒合法程序诱导用户下载并执行恶意代码，进而实现敏感数据窃取，包括但不限于短信内容、通讯录信息及主流社交/金融应用的账户凭据，最终对受害者构成隐私泄露与资金安全的双重威胁。

4．分析总结

经综合分析，该恶意样本采用多层伪装机制，其主程序仿冒为DeepSeek官方应用，通过诱导性展示目标官网界面降低用户警惕性。在运行阶段，样本通过动态代码加载技术隐蔽加载恶意子包，并建立与C&C服务器的加密通信信道。恶意模块具备多维度数据窃取能力，包括：1、隐私窃取模块（短信/联系人/应用列表等）；2、界面监控模块（滥用无障碍服务权限实施屏幕内容抓取）；3、指令执行模块（支持远程指令解析，实现功能动态扩展）。攻击链中特别采用界面伪装与恶意行为分离机制，有效规避基础安全检测，最终导致用户敏感信息泄露及设备控制权限沦陷。

安天威胁情报中心已通过实时威胁狩猎系统完成覆盖该家族全量样本的检测规则部署，并联动移动终端防护体系实现安装阻断，为防范AI技术滥用场景下的新型网络威胁提供主动防御支撑。

（相关链接：

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=E1FF086B629CE744A7C8DBE6F3DB0F68）

5．防护建议

1、建议从官方网站、各大手机厂商应用平台下载正版应用。

2、对与请求无障碍服务和激活设备管理器的行为提高警惕，不轻易授予相关权限。

3、在手机设置中关闭"允许安装未知来源应用"的选项。

4、定期在设置-应用管理中查看近期安装的陌生程序。

5、对设备电量异常消耗的情况予以关注。

6、养成定期使用手机管家等具有杀毒功能应用的使用习惯，及时查杀病毒。

6．关联样本

银行间谍木马：

除此之外，通过内部大数据关联分析发现，近期除了上面提到的银行木马外，还存在其他冒用DeepSeek名义从事诈骗活动的情况，如下为部分关联样本信息：