Хакеры распространяют в соцсетях троян для Android под видом срочных распродаж

В сообщениях мошенники предлагают ознакомиться с "фотографиями" продаваемых предметов и прикладывают файл с названиями "фото.APK" или "папка с фото.APK", объясняя, что изображения сжаты в архив якобы "для удобства". На деле же этот файл содержит вредоносное ПО семейства Mamont с широким набором деструктивных функций, рассказали "Российской газете" специалисты компании Angara MTDR.

"Исследованные нами образцы представляют собой троянца, предназначенного для скрытного получения и отправки SMS, сбора информации о зараженном устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных URL", - сказал руководитель направления обратной разработки компании Александр Гантимуров.

При установке приложение запрашивает опасные разрешения: на отправку сообщений, доступ к звонкам и камере. Когда пользователь предоставит их, он увидит фишинговую страницу сервиса по обмену изображениями, которая тоже может использоваться для сбора учетных данных.

После заражения смартфона вредоносная программа получает практически полный контроль над устройством, включая автозагрузку, совершение звонков, полный доступ к SMS, контактам, камере и данным устройства (например, к IMEI, Международному идентификатору мобильного оборудования). Вся информация передается на удаленный сервер, откуда злоумышленники фактически управляют зараженным устройством. Для усложнения анализа кода все основные строки в приложении зашифрованы.

Анализ вредоноса, отмечают в компании, указывает на подготовку киберпреступников к более масштабной кампании по сбору персональных данных.

"В приложении уже заложен неиспользуемый пока функционал для запроса номера паспорта, даты рождения и верификации пользователя по лицу. Это говорит о планах по расширению возможностей вредоносной программы", - заявил Гантимуров.

По его словам, видеоматериалы с лицом жертвы могут в дальнейшем применяться для создания таргетированных фишинговых сообщений и более эффективного распространения угрозы.

В компании рекомендуют пользователям соблюдать базовые меры безопасности. В частности, стоит отключить автоматическую загрузку медиафайлов в мессенджерах, внимательно проверять формат файла перед его открытием или скачиванием и не устанавливать APK-приложения из чатов и непроверенных источников. Устанавливать программы следует только из официальных магазинов, таких как Google Play или RuStore. Кроме того, эксперты советуют проверять подозрительные документы на специализированных сервисах и использовать актуальное антивирусное ПО от проверенных производителей.

В целом же активность злоумышленников, связанная с созданием поддельных страниц для схем с распространением вредоносного ПО, в которых активно эксплуатируются реальные бренды, растет, сказал ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров. В этом году число таких случаев увеличилось почти в шесть раз по сравнению с 2024 годом - с 28 до 160 ресурсов на один бренд.

"Это связано с развитием скам-групп в этом году, ориентированных на атаки с заражением мобильных устройств c операционной системой Android", - пояснил собеседник.

По прогнозам компании, эта тенденция сохранится и в 2026 году, в том числе с распространением вредоносов и без упоминаний брендов.