OctoV2-Trojaner nutzt KI-Hype für Bankbetrug

Ein neuer Android-Trojaner namens OctoV2 tarnt sich als beliebte DeepSeek-KI-App und stiehlt Banking-Daten. Cyberkriminelle nutzen den aktuellen KI-Boom gezielt aus, um Nutzer auf betrügerische Websites zu locken.

Die Schadsoftware verbreitet sich über eine ausgeklügelte Phishing-Kampagne und verwendet fortschrittliche Verschleierungstechniken. Einmal installiert, übernimmt sie die Kontrolle über das Gerät und kann Bankdaten sowie persönliche Informationen abgreifen.

Perfekte Täuschung: Fake-Website imitiert KI-Plattform

Sicherheitsforscher von K7 Labs entdeckten den Trojaner erstmals durch einen verdächtigen Twitter-Post. Dieser bewirbt eine gefälschte DeepSeek-Android-App und leitet Nutzer auf die betrügerische Website “hxxps://deepsekk[.]sbs” weiter.

Die Fake-Seite imitiert die offizielle DeepSeek-KI-Plattform perfekt. Besucher werden zum Download einer schädlichen APK-Datei namens “DeepSeek.apk” verleitet. Nach der Installation verwendet die Malware ein identisches Icon zur echten App – für normale Nutzer praktisch nicht erkennbar.

Beim ersten Start zeigt die App einen gefälschten Update-Bildschirm. Diese Taktik soll Nutzer dazu bringen, gefährliche Berechtigungen zu erteilen – einschließlich der Installation von Apps aus unbekannten Quellen.

Doppelte Tarnung erschwert Erkennung

OctoV2 setzt auf ein zweistufiges Installationssystem, um Sicherheitssoftware zu umgehen. Die erste “Eltern-App” installiert heimlich eine zweite, versteckte “Kind-App” auf dem Gerät.

Diese ausgeklügelte Vorgehensweise macht es Sicherheitsprogrammen schwer, die Bedrohung zu identifizieren. Die Entwickler schützen ihre APK-Dateien zusätzlich mit Passwörtern – selbst professionelle Analyse-Tools wie APKTool scheitern daran.

Vollzugriff durch Barrierefreiheits-Dienste

Das eigentliche Ziel: Zugang zu Androids Barrierefreiheits-Diensten. Die Kind-App bombardiert Nutzer hartnäckig mit Berechtigungsanfragen, bis sie nachgeben.

Diese eigentlich für behinderte Menschen gedachten Funktionen verleihen der Malware nahezu vollständige Gerätekontrolle. OctoV2 kann dann:

• Bildschirminhalte lesen (Login-Daten, SMS-Codes)
• Eingaben steuern und Banking-Apps bedienen
• Deinstallation verhindern durch Blockade der Sicherheitseinstellungen

Anzeige: Übrigens: Wer sich vor solchen Android-Angriffen schützen möchte, sollte die wichtigsten Sicherheitsmaßnahmen kennen. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern – inklusive Checklisten für App-Quellen, Berechtigungen (z. B. Barrierefreiheit) und wichtige Updates für WhatsApp, Online-Banking & PayPal. Jetzt kostenloses Android‑Sicherheitspaket sichern

Neue Generation einer bekannten Bedrohung

OctoV2 ist eine Weiterentwicklung der Octo-Malware-Familie, die auf den berüchtigten Exobot-Trojaner von 2016 zurückgeht. Als 2024 der Quellcode des ursprünglichen Octo geleakt wurde, entstanden zahlreiche Varianten.

Die neue Version nutzt einen Domain Generation Algorithm (DGA): Die Malware generiert dynamisch neue Domainnamen für ihre Kommunikation und macht Blockaden durch Sicherheitssysteme schwierig. Nach erfolgreicher Verbindung sendet sie eine Liste aller installierten Apps an die Angreifer.

Schutz vor der KI-Falle

Die Ausnutzung des KI-Trends zeigt, wie schnell sich Cyberkriminelle an aktuelle Entwicklungen anpassen. Misstrauen ist die beste Verteidigung:

• Apps nur aus dem Google Play Store herunterladen
• Barrierefreiheits-Berechtigungen kritisch hinterfragen
• “Installation aus unbekannten Quellen” niemals aktivieren
• Betriebssystem und Apps stets aktuell halten
• Mobile Sicherheitslösungen verwenden

Wer auf die perfekte Imitation der DeepSeek-App hereinfällt, riskiert den Totalverlust seiner Banking-Daten. Die Cyberkriminellen setzen dabei gezielt auf das Vertrauen in KI-Technologie.