关于针对我国用户的仿冒 "DeepSeek" 官方 APP 的手机木马病毒的预警报告

一、相关病毒案例

近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(virus.cverc.org.cn)在我国境内捕获发现针对我国用户的仿冒我国国产人工智能大模型 "DeepSeek" 官方 APP 的安卓平台手机木马病毒,如图 1、图 2 所示。

图 1 相关病毒样本信息

图 2 仿冒 DeepSeek 官方 APP

用户一旦点击运行仿冒 APP,该 APP 会提示用户 " 需要应用程序更新 ",并诱导用户点击 " 更新 " 按钮。用户点击后,会提示安装所谓的 " 新版 "DeepSeek 应用程序,实际上是包含恶意代码的子安装包,并会诱导用户授予其后台运行和使用无障碍服务的权限,如图 3 至图 6 所示。

图 3 诱导用户 " 更新 "

图 4 诱导用户安装 " 带毒 " 子安装包

图 5 诱导用户授权其后台运行

图 6 诱导用户授权其使用无障碍功能

同时,该恶意 APP 还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析,该恶意 APP 为金融盗窃类手机木马病毒的新变种。

二、病毒样本信息

具体病毒样本信息请参见国家计算机病毒协同分析平台:

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=e1ff086b629ce744a7c8dbe6f3db0f68

三、相关风险提示

2025 年 1 月以来,我国杭州深度求索人工智能基础技术研究有限公司发布的 DeepSeek 人工智能大模型在国内外引发广泛关注,其官方 APP 程序在全球多个国家和地区的手机应用市场上排名前列。这一流行现象也被网络犯罪分子所利用。此次被发现的仿冒 DeepSeek 的手机木马使用简体中文制作了交互界面,明显针对我国用户。网络犯罪分子很可能将该恶意 APP 用于电信网络诈骗活动,诱使用户从非官方渠道安装仿冒 DeepSeek 的手机木马,从而对用户的个人隐私和经济利益构成较大威胁。

除仿冒 DeepSeek 安卓客户端的 "DeepSeek.apk" 之外,国家计算机病毒协同分析平台还发现了多个文件名为 "DeepSeek.exe"、"DeepSeek.msi" 和 "DeepSeek.dmg" 的病毒样本文件,由于 DeepSeek 目前尚未针对 Windows 平台和 MacOS 平台推出官方客户端程序,因此相关文件均为仿冒程序。由此可见,网络犯罪分子已经将仿冒 DeepSeek 作为传播病毒木马程序的新手法。预计未来一段时间内,包括仿冒 DeepSeek 在内的各种人工智能应用程序的病毒木马将持续增加。

四、防范措施

1. 不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载 APP 程序,仅通过 DeepSeek 官方网站 www.deepseek.com)或正规手机应用商店下载安装相应 APP 程序。

2. 保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态,并保持手机操作系统和安全软件更新到最新版本。

3. 在手机使用过程中,谨慎处理非用户主动发起的 APP 安装请求,一旦发现 APP 在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求,应一律予以拒绝。

4. 如遭遇安装后无法正常卸载的 APP 程序,应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据,在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息,以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息,一旦出现上述相关情况,应及时联系相关软件供应商和亲友说明有关情况。

5. 警惕和防范针对流行 APP 软件的电信网络诈骗话术,如 " 由于 XXX 软件官方网站服务异常,请通过以下链接下载官方应用程序 "" 由于 XXX 软件更新到最新版本,需要用户重新授予后台运行和无障碍功能权限 " 等,避免被网络犯罪分子诱导。

6. 对已下载的可疑文件,可访问国家计算机病毒协同分析平台(virus.cverc.org.cn)进行上传检测。

本预警报告得到了奇安信科技集团股份有限公司、安天科技集团股份有限公司、北京瑞星网安技术股份有限公司等计算机病毒防治技术国家工程实验室和国家计算机病毒协同分析平台等各共建单位的技术和信息支持,特此致谢。

来源丨国家计算机病毒应急处理中心网站(版权归原作者所有,如有侵权请联系删除)