刚刚过去的春节,DeepSeek 一经发布即成为全球热议的现象级产品,引发了全球资本市场、科技从业者、政策制定者和普通用户的关注,并掀起安装与使用的热潮。
性能媲美 ChatGPT、谷歌 Gemini、LLaMA 等大模型性能、模型训练成本预估只有不到 600 万美元、技术团队规模仅百余人…… 这些前所未有的成绩,不仅推动 DeepSeek 成为全球最受瞩目的 AI 大模型产品,也引起了黑灰产的觊觎。
一方面,冒用“DeepSeek”名称相关的恶意网址、App、木马等行为正在泛滥,另一方面,黑灰产也嗅到了“商机”,纷纷下场借助热度实施不法行为。为此,腾讯安全团队从外链和 App 应用两个维度对其进行了深度分析。
● 疑似仿冒 DeepSeek 的域名爆炸式增长,春节前后累计观察到疑似仿冒 DeepSeek 的网站超过 20000 个。
● 1 月 31 日新增疑似仿冒 DeepSeek 站点约 3000 个。
● 监测到大量仿冒站点,通过社交平台引流 C 端用户,指向虚拟币平台和色情网站。
● 监测到部分黑灰产,通过伪造提供 DeepSeek 本地部署和提供行业解决方案,对企业实施钓鱼攻击。
● 黑灰产仿冒 DeepSeek 植入木马,可能会进一步应用 AI 算法提高攻击成功率。
1.外链维度
1.1 每日活跃的站点数量增长趋势分析
1 月 26 日开始传播量级已经初具规模,从 1 月 31 日开始,传播量级提速,当天新增疑似仿冒 DeepSeek 站点约 3000 个,2 月 7 日后增速有所放缓,如图 1.1 所示。
图 1.1 每日活跃的疑似仿冒 DeepSeek 站点数量分布图
1.2 疑似仿冒 DeepSeek 网站分析
1.2.1 虚拟币相关
如图 1.2 所示,在发现疑似仿冒 DeepSeek 站点快速增长时,我们利用网址关系链技术发现,这些疑似仿冒站点与一些境外常见的虚拟币交易平台有着十分密切的联系,因此猜测出现了打着 DeepSeek 旗号建立的新型虚拟币,如图 1.3 所示。
图 1.2 与虚拟币交易平台有着密切关系的疑似仿冒 DeepSeek 站点
图 1.3 打着 DeepSeek 旗号建立的虚拟币网站
同时我们还发现,与虚拟币交易平台有密切关系的仿冒 DeepSeek 站点,与常见的社交平台也有着十分密切的关系,这是因为新建的虚拟币需要借助社交平台来引流,如图 1.4 所示。
图 1.4 借助境外常用社交平台来引流
此外,通过进一步分析,我们发现打着 DeepSeek 旗号建立的新型虚拟币呈现明显的团伙性质,首先这几个网站都利用 halo 快速建站构建,背后为同一团伙开发设计,并且具有明显 IP 聚集效应,如图 1.5 所示。
图 1.5 打着 DeepSeek 旗号建立虚拟币团伙
1.2.2 色情导流相关
此外,如图 1.6 所示,通过网址关系链,我们还发现除了虚拟币之外,还有一些疑似仿冒 DeepSeek 站点与色情网站关系比较密切,如图 1.7 和 1.8 所示。
图 1.6 仿冒 DeepSeek 网站导流到色情网站
图 1.7 访问后直接跳转色情网站并诱导下载假冒的短视频 APP,实际为色情 APP
图 1.8 一些网站中的广告可以随机跳转到色情网站或者虚拟币交易网站
1.2.3 可疑钓鱼网站
目前主要发现有两种可疑钓鱼网站,有声称可以帮助用户提供 DeepSeek 本地部署和提供行业解决方案的,如图 1.9 所示,也有以金融公司名义吸引线上会议的,如图 1.10 所示。
图 1.9 可疑钓鱼网站 1
图 1.10 可疑钓鱼网站 2
1.3 域名注册情况分析
1.3.1 域名注册时间分布
从域名注册时间来看,大部分域名都集中在最近半个月内注册,占比达到 84.2%,如图 1.11 所示。
图 1.11 疑似仿冒 DeepSeek 域名注册时间分布
1.3.2 域名注册服务商分布
从域名注册服务商来看,Top10 的域名注册商占了总域名注册数量的 79.8%,头部几个域名注册商占比相对集中,前五名分别为 24.3%、11.6%、11.0%、9.3%、8.4%,如图 1.12 所示。
图 1.12 疑似仿冒 DeepSeek 域名注册服务商分布
1.3.3 域名解析地理位置分布
从域名解析的 IP 地理位置来看,有 53.8% 位于北美洲,亚洲占比达到 35.0%,其余主要分布在欧洲。如图 1.13 所示。
图 1.13 疑似仿冒 DeepSeek 域名解析 IP 位置分布
2.APP 维度
2.1 最新动态总结
主要从仿冒 DeepSeek 家族的流行攻击技术研究和流行木马案例进行研究,通过对 Top10 的可疑木马样本进行分析,得出以下结论:
● 对 DeepSeek 进行重打包并植入恶意代码,致使用户在不知情下运行篡改程序时,弹出诱导窗口,诱导其下载来源不明且可能携带病毒、木马等恶意程序的破解软件。
● 用户在不知情的情况下运行仿冒 DeepSeek 程序,会出现诱导加入特定某即时通信软件群聊的弹窗。一旦加入,用户易陷入诈骗团伙圈套,面临信息泄露、网络诈骗及设备被恶意控制等风险。
● 利用打包平台生成假冒 DeepSeek,用户注册需填特定邀请码方可进入。应用内置多项诱导性充值项目,具有“杀猪盘”式可疑诈骗特征,且强制用户设置交易密码以完成“资金操作”。
2.2 仿冒影响情况
2.2.1 仿冒 DeepSeek 家族分布
如图 2.1 所示,仿冒 DeepSeek 家族中可疑欺诈类占比 52%,可疑仿冒和可疑风险类占比均为 17%,可疑银行木马类占比 14%。
图 2.1 仿冒 DeepSeek 恶意应用家族分布
2.2.2 仿冒 DeepSeek 家族 Top10 应用列表
如表 2.1 所示,仿冒 DeepSeek 家族 Top10 应用存在多种对抗手段,包括仿冒包名、包名随机化和仿冒图标等,这使得用户难以分辨真伪。
表 2.1 仿冒 DeepSeek 家族 Top10 应用列表
2.3 仿冒具体案例分析
2.3.1 可疑诱导引流案例
基础信息
函数名称
相关代码
该案例重新打包后植入恶意代码,运行后弹窗诱导加群,如图 2.2 所示,诱导加群代码如图 2.3 所示。
图 2.2 DeepSeek 重打包后植入恶意代码,通过某即时通信软件诱导加群
图 2.3 运行后用 android.app.Dialog.show 弹出诱导加群的对话框
2.3.2 可疑仿冒案例
基础信息
函数名称
相关代码
该案例重新打包后植入恶意代码,运行后弹窗诱导下载其他破解软件,如图 2.4 所示,诱导代码如图 2.5 所示。
图 2.4 DeepSeek 重打包后植入恶意代码诱导下载破解软件
图 2.5 运行后用 android.app.Dialog.show 弹出诱导下载其他破解软件的对话框
2.3.3 可疑欺诈案例
基础信息
函数名称
相关代码
利用打包平台生成可疑仿冒 DeepSeek 的应用,内含收费项目,注册需要邀请码,疑似杀猪盘,如图 2.6 所示。该应用的包名证书也与官方的不一样,如图 2.7 所示。
图 2.6 利用打包平台生成的假冒 DeepSeek 应用
图 2.7 该假冒应用的包名证书与官方不一样
3.未来仿冒 DeepSeek 的可能趋势
3.1 仿冒 DeepSeek 外链趋势
未来仿冒 DeepSeek 外链可能的趋势有以下几点:
● 欺诈手法隐蔽化:黑产将 DeepSeek 与博彩或者其他投资类相结合,以高回报引诱受害者参与。
● 传播引流方式多样化:借助于高热的黑灰产网站,例如色情或者盗版视频等网站来传播引流。
● 对抗加剧:随着对仿冒 DeepSeek 的黑灰产网站打击,黑灰产一定会想尽多种方式来躲避风控。
3.2 仿冒 DeepSeek APP 趋势
未来仿冒 DeepSeek 家族可能的趋势有以下几点:
● 伪装与传播多样化:借助色情网站、社交软件,伪装成合法内容传播,感染率与隐蔽性增强。
● 隐藏自身与逃逸检测:利用透明图标、透明窗体等技术隐藏自身,避免被用户和安全软件发现,增强持久性和隐蔽性。
● 滥用辅助功能权限与系统权限:恶意软件将利用系统的辅助功能,激活设备管理器进行提权,监控用户操作(点击、手势等),替换系统默认应用,获取敏感权限(如读取和发送短信),从而进一步接管受害者设备。
● 利用人工智能进行攻击决策:未来的木马可能会集成人工智能算法,能够根据环境和目标的不同自动选择最有效的攻击方式,提高成功率。
4.温馨提示
当前,腾讯安全团队已在腾讯系产品上对其中发现的涉诈、涉黄、钓鱼等多种风险的外链和 App 进行了处理,但是黑产的作恶手段和方法一直处于快速的变化中。建议所有用户(包括个人用户和企业用户)访问和下载 DeepSeek 应用时,一定要通过 DeepSeek 官方网站或者在知名应用商店里操作,对不明链接和应用提高警惕,仔细辨识,防止上当受骗。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。