國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心：仿冒DeepSeek的手機(jī)木馬病毒被捕獲

　　關(guān)于針對(duì)我國(guó)用戶(hù)的仿冒“DeepSeek”官方APP的手機(jī)木馬病毒的預(yù)警報(bào)告

　　一、相關(guān)病毒案例

　　近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（virus.cverc.org.cn）在我國(guó)境內(nèi)捕獲發(fā)現(xiàn)針對(duì)我國(guó)用戶(hù)的仿冒我國(guó)國(guó)產(chǎn)人工智能大模型“DeepSeek”官方APP的安卓平臺(tái)手機(jī)木馬病毒，如圖1、圖2所示。

　　圖1 相關(guān)病毒樣本信息

　　圖2 仿冒DeepSeek官方APP

　　用戶(hù)一旦點(diǎn)擊運(yùn)行仿冒APP，該APP會(huì)提示用戶(hù)“需要應(yīng)用程序更新”，并誘導(dǎo)用戶(hù)點(diǎn)擊“更新”按鈕。用戶(hù)點(diǎn)擊后，會(huì)提示安裝所謂的“新版”DeepSeek應(yīng)用程序，實(shí)際上是包含惡意代碼的子安裝包，并會(huì)誘導(dǎo)用戶(hù)授予其后臺(tái)運(yùn)行和使用無(wú)障礙服務(wù)的權(quán)限，如圖3至圖6所示。

　　圖3 誘導(dǎo)用戶(hù)“更新”

　　圖4 誘導(dǎo)用戶(hù)安裝“帶毒”子安裝包

　　圖5 誘導(dǎo)用戶(hù)授權(quán)其后臺(tái)運(yùn)行

　　圖6 誘導(dǎo)用戶(hù)授權(quán)其使用無(wú)障礙功能

　　同時(shí)，該惡意APP還包含攔截用戶(hù)短信、竊取通訊錄、竊取手機(jī)應(yīng)用程序列表等侵犯公民個(gè)人隱私信息的惡意功能和阻止用戶(hù)卸載的惡意行為。經(jīng)分析，該惡意APP為金融盜竊類(lèi)手機(jī)木馬病毒的新變種。

　　二、病毒樣本信息

　　具體病毒樣本信息請(qǐng)參見(jiàn)國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)：

　　https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=e1ff086b629ce744a7c8dbe6f3db0f68

　　三、相關(guān)風(fēng)險(xiǎn)提示

　　2025年1月以來(lái)，我國(guó)杭州深度求索人工智能基礎(chǔ)技術(shù)研究有限公司發(fā)布的DeepSeek人工智能大模型在國(guó)內(nèi)外引發(fā)廣泛關(guān)注，其官方APP程序在全球多個(gè)國(guó)家和地區(qū)的手機(jī)應(yīng)用市場(chǎng)上排名前列。這一流行現(xiàn)象也被網(wǎng)絡(luò)犯罪分子所利用。此次被發(fā)現(xiàn)的仿冒DeepSeek的手機(jī)木馬使用簡(jiǎn)體中文制作了交互界面，明顯針對(duì)我國(guó)用戶(hù)。網(wǎng)絡(luò)犯罪分子很可能將該惡意APP用于電信網(wǎng)絡(luò)詐騙活動(dòng)，誘使用戶(hù)從非官方渠道安裝仿冒DeepSeek的手機(jī)木馬，從而對(duì)用戶(hù)的個(gè)人隱私和經(jīng)濟(jì)利益構(gòu)成較大威脅。

　　除仿冒DeepSeek安卓客戶(hù)端的“DeepSeek.apk”之外，國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)還發(fā)現(xiàn)了多個(gè)文件名為“DeepSeek.exe”、“DeepSeek.msi”和“DeepSeek.dmg”的病毒樣本文件，由于DeepSeek目前尚未針對(duì)Windows平臺(tái)和MacOS平臺(tái)推出官方客戶(hù)端程序，因此相關(guān)文件均為仿冒程序。由此可見(jiàn)，網(wǎng)絡(luò)犯罪分子已經(jīng)將仿冒DeepSeek作為傳播病毒木馬程序的新手法。預(yù)計(jì)未來(lái)一段時(shí)間內(nèi)，包括仿冒DeepSeek在內(nèi)的各種人工智能應(yīng)用程序的病毒木馬將持續(xù)增加。

　　四、防范措施

　　1.不要從短信、社交媒體軟件、網(wǎng)盤(pán)等非官方渠道傳播的網(wǎng)絡(luò)鏈接或二維碼下載APP程序，僅通過(guò)DeepSeek官方網(wǎng)站www.deepseek.com）或正規(guī)手機(jī)應(yīng)用商店下載安裝相應(yīng)APP程序。

　　2.保持手機(jī)預(yù)裝的安全保護(hù)功能或第三方手機(jī)安全軟件處于實(shí)時(shí)開(kāi)啟狀態(tài)，并保持手機(jī)操作系統(tǒng)和安全軟件更新到最新版本。

　　3.在手機(jī)使用過(guò)程中，謹(jǐn)慎處理非用戶(hù)主動(dòng)發(fā)起的APP安裝請(qǐng)求，一旦發(fā)現(xiàn)APP在安裝過(guò)程中發(fā)起對(duì)設(shè)備管理器、后臺(tái)運(yùn)行和使用無(wú)障礙功能等權(quán)限請(qǐng)求，應(yīng)一律予以拒絕。

　　4.如遭遇安裝后無(wú)法正常卸載的APP程序，應(yīng)立即備份手機(jī)中的通訊錄、短信、照片、聊天記錄和文檔文件等重要數(shù)據(jù)，在手機(jī)生產(chǎn)商售后服務(wù)人員或?qū)I(yè)人員的指導(dǎo)下對(duì)手機(jī)進(jìn)行安全檢測(cè)和恢復(fù)。同時(shí)密切關(guān)注本人的社交媒體類(lèi)軟件和金融類(lèi)軟件是否具有異常登錄信息或異常操作信息，以及親友是否收到由本人手機(jī)號(hào)或社交媒體軟件發(fā)送的異常信息，一旦出現(xiàn)上述相關(guān)情況，應(yīng)及時(shí)聯(lián)系相關(guān)軟件供應(yīng)商和親友說(shuō)明有關(guān)情況。

　　5.警惕和防范針對(duì)流行APP軟件的電信網(wǎng)絡(luò)詐騙話(huà)術(shù)，如“由于XXX軟件官方網(wǎng)站服務(wù)異常，請(qǐng)通過(guò)以下鏈接下載官方應(yīng)用程序”“由于XXX軟件更新到最新版本，需要用戶(hù)重新授予后臺(tái)運(yùn)行和無(wú)障礙功能權(quán)限”等，避免被網(wǎng)絡(luò)犯罪分子誘導(dǎo)。

　　6.對(duì)已下載的可疑文件，可訪(fǎng)問(wèn)國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（virus.cverc.org.cn）進(jìn)行上傳檢測(cè)。

　　本預(yù)警報(bào)告得到了奇安信科技集團(tuán)股份有限公司、安天科技集團(tuán)股份有限公司、北京瑞星網(wǎng)安技術(shù)股份有限公司等計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室和國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)等各共建單位的技術(shù)和信息支持，特此致謝。