Всем привет! Это отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, и его коллеги продолжают исследовать новые версии вредоносных APK-файлов, которые распространяются в социальных сетях и мессенджерах. На сей раз поговорим о разнообразии коммуникаторов и изменении схем распространения впо.
Содержание
Введение
С началом замедления мобильного интернета, а также в связи с проблемами, которые возникли у Telegram, пользователи популярных мессенджеров стали активно искать новые средства коммуникации. То и дело в постах мелькают названия не только национального мессенджера, но и решений, созданных для пользователей из стран Азии, Ближнего Востока и Южной Америки. Каждый из этих сервисов позиционирует себя как самый безопасный и приватный мессенджер, гарантирующий полную конфиденциальность и безопасность пользователей. По мере затруднения доступа к сообщениям в самых распространённых мессенджерах у новинок появляется всё больше российских потребителей. При этом новые клиенты, поверившие в удачный маркетинговый ход про приватность и безопасность, забывают, что вместе с ними в новые приложения переходят и «старые знакомые», хотя они и используют обновлённые схемы. Распространение ВПО в популярных мессенджерах также не забыто. Изменились лишь сценарии продвижения вредоносов. Всё чаще они подходят под любой мессенджер.
C февраля 2026 года злоумышленники повсеместно поменяли схему распространения своих вредоносных приложений. Если раньше было достаточно просто отправить APK-файл жертве в личные сообщения или групповой чат, то теперь это так просто не работает.
Telegram стал активнее блокировать массово распространяемые APK-файлы, а в мессенджере MAX APK вообще нельзя отправить. Но, как обычно бывает, есть один нюанс.
Злоумышленники стали присылать ссылку на канал или группу в мессенджере, в которых уже выложен вредоносный APK-файл.
Рассмотрим изменения в работе мошенников на примере знакомого всем Telegram.
В связи с последними проблемами работы Telegram мошенники теперь присылают сразу ссылку на вредоносный сайт или HTML-страницу, которую необходимо открыть.
Пользователю предлагается скачать APK-файл, только если он зашёл с Android-устройства. В противном случае отобразится лишь легитимное содержимое. Обычно проверка осуществляется на стороне сервера по User-Agent в HTTP-запросе.
Всё это сопровождается эмоциональным сообщением, чтобы дополнительно убедить пользователя перейти по ссылке, скачать и установить приложение.
Основными темами для привлечения пользователей являются сообщения о ДТП и/или смерти одного из знакомых. Последний повод используется, если взломанный аккаунт однозначно принадлежит пожилому человеку.
Очень часто в тексте меняют символы кириллицы на похожие латинские, чтобы обойти спам-фильтры на массовые рассылки.
Файлы APK с новыми версиями обфускации и центров удалённого управления появляются несколько раз в день. Это необходимо для ухода от блокировок со стороны сетевой инфраструктуры. В некоторых рассмотренных случаях в приложения были зашиты реквизиты Telegram-ботов для сообщений об успешной установке, иногда они нужны и для получения команд извне.
Для рассылки сообщений используются взломанные аккаунты, доступ к которым злоумышленники получили ранее через такие же вредоносные приложения.
Ещё раз пройдёмся по шагам развития атаки:
Пользователю приходит сообщение в мессенджер от контакта, который уже взломали.
В сообщении содержится эмоциональный текст на тему ДТП или смерти знакомого со ссылкой или html-cтраницей. Может использоваться сервис сокращения ссылок.
- При открытии html-файла пользователь перенаправляется на вредоносный сайт или группу/канал в Telegram.- При открытии вредоносного сайта происходит проверка браузера пользователя. Сайт предложит скачать APK-файл, только если пользователь зашёл с Android-устройства.
- При открытии ссылки на Telegram-канал или группу может оказаться, что канал/группа закрытые. Тогда необходимо принять приглашение, чтобы увидеть сообщения с вредоносными файлами.
После установки APK и предоставления всех разрешений злоумышленники получают доступ к СМС и данным на устройстве.
При помощи СМС злоумышленник заходит в аккаунт Telegram (или любого другого мессенджера) жертвы, чтобы повторить рассылку уже по его контактам.
Через подтверждающие коды СМС происходят попытки вывести денежные средства, оформить заём или купить товары в рассрочку. В последнем случае не помогает даже самозапрет на получение кредитов и займов.
Деньги и товары выводятся через дропов.
Распространяемое вредоносное ПО технически не отличается от ранее исследованных образцов и не представляет особого интереса.
Ключевые моменты
Почему присылают ссылку, а не вредоносный файл?
Массово распространяемые APK в Telegram быстро блокируют, а мессенджер MAX вообще запрещает передачу APK-файлов. Разнообразие мессенджеров на устройствах граждан растёт. Злоумышленники обходят ограничения и унифицируют способы распространения для разных сервисов.Почему пользователи устанавливают вредоносные приложения?/
Мы уже разбирали этот вопрос в предыдущих статьях. Злоумышленники не рассчитывают на то, что каждый установит вредоносную программу. Они работают за счёт массовости и социальной инженерии — всегда найдётся тот, кто установит и даст необходимые разрешения.Telegram/MAX содержит уязвимость и его взломали.
Нет. Взломали отдельных пользователей и получили доступ к их аккаунтам. Рассылки проводятся чаще всего не с учётных записей злоумышленников, а со взломанных аккаунтов в Telegram, WhatsApp, MAX и т.д.
При настроенном втором факторе злоумышленнику гораздо сложнее захватить аккаунт жертвы.
Рекомендации по защите
Для MAX:
Ограничьте видимость данных в MAX. Зайдите в настройки конфиденциальности и скройте номер телефона, статус в сети и перечень ваших групп от посторонних. Можно сразу включить безопасный режим. Это затруднит сбор данных для подготовки к атаке и рассылке сообщений.
Проявляйте бдительность при получении ссылок — мессенджер отображает, куда примерно они ведут. Если получили ссылку на внешний ресурс, никогда не переходите по ней сразу. Сначала подтвердите подлинность сообщения, связавшись с отправителем лично или по телефону.
Активируйте двухфакторную аутентификацию (2FA). Дополнительный пароль для входа станет ещё одним препятствием для взломщиков. Даже имея доступ к SMS-коду, они не смогут захватить аккаунт и использовать его для распространения фишинга среди ваших контактов.
Общие рекомендации для Telegram и Android устройств мы уже приводили в прошлой статье и они не претерпели изменения.
Для Telegram:
Отключите автозагрузку файлов. Для проверки файлов можно использовать бот «Доктор Веб».
Ограничьте видимость данных.
Настройте второй фактор — облачный пароль для входа.
Для Android:
Включите Google Play Protect, если он по каким-либо причинам выключен.
Поставьте антивирусное средство на телефон и периодически проводите полную проверку.
Не устанавливайте приложения из неизвестных источников.
Осторожно открывайте ссылки и по возможности проверяйте формат файлов перед открытием. Небольшие по размеру файлы можно отправить на проверку в Telegram-бот, в приложение Virustotal или сразу на сайт Virustotal.
Эти рекомендации актуальны для любого другого мессенджера, который вы установили в попытках найти самый безопасный и приватный коммуникатор. Изучите его настройки и установите запреты.
Что делать, если установили вредоносное приложение
Здесь рассмотрим базовый алгоритм удаления, применимый для всех подобных угроз. Мы его приводили в прошлой статье.
Включаем режим полёта — отключается интернет, СМС и звонки.
Перезагружаем телефон в безопасный режим (Safe mode). В зависимости от модели устройства последовательность действий может меняться, но обычно нажимаем кнопку включения, ждём логотипа и зажимаем клавишу уменьшения звука. В этом режиме все сторонние приложения будут отключены.
Проверяем приложения для администрирования устройства. Настройки — Защита и конфиденциальность — Дополнительные параметры — Администратор устройства. В зависимости от прошивки путь может быть другой, лучше воспользоваться поиском по словам «Администратор» или «Device admin».
Проверяем разрешения на доступ к Accessibility Service (Специальные возможности). Настройки — Специальные возможности — Установленные службы. Или ищем в настройках по словам «Accessibility», «Специальные возможности». В норме там не должно быть никаких приложений, особенно неизвестных.
Проверяем разрешения на установку приложений. Настройки — Приложения — Специальный доступ — Установка неизвестных приложений. Обычно там выданы разрешения только Google Play и RuStore.
Проверяем остальные разрешения — доступ к SMS, камере и местоположению. Настройки — Защита и конфиденциальность — Настройки конфиденциальности — Управление разрешениями.
Удаляем подозрительные приложения, которые мы нашли на предыдущих этапах. Отзыв разрешений может провоцировать приложение постоянно выдавать уведомление, что его надо включить и «донастроить», поэтому сразу удаляем источник проблем.
Перезагружаем.
Предыдущие публикации
Рассылаемое по ссылкам вредоносное ПО принципиально ничем не отличается от исследованного нами прежде. Чуть другая обфускация и методы взаимодействия, но ничего интересного с технической точки зрения. Поэтому мы не стали перегружать статью новым подробным разбором этих приложений. Тем не менее мы продолжаем отслеживать свежие угрозы и при появлении глобальных изменений как с точки зрения алгоритмов работы, так и мер безопасности обязательно разберём и опишем их.
Ранее по теме:
«Evil»-бонус от банка, или как пройти опрос и потерять все деньги — об исследовании «МирСБП»
Шпион в твоём кармане — об исследовании «BTMOB RAT»
