Опасное вредоносное Android-ПО маскируется под TikTok и Minecraft и тайно списывает деньги с пользователей

Эксперты по кибербезопасности обнаружили масштабную мошенническую кампанию, в рамках которой злоумышленники распространяли сотни зараженных Android-приложений под видом популярных игр и сервисов. Вредоносное ПО незаметно оформляло платные подписки и списывало деньги со счетов пользователей через мобильных операторов.

Исследователи из Zimperium сообщили, что в схеме использовалось почти 250 поддельных приложений. Среди них были копии TikTok, Minecraft, Grand Theft Auto, Instagram Threads и Facebook Messenger. После установки такие программы подключали жертв к премиальным сервисам без их согласия.

Как работала схема

Кампания отличалась высокой степенью автоматизации и использовала сразу несколько методов для сокрытия активности. Вредоносное ПО применяло JavaScript-инъекции, перехватывало одноразовые пароли и запускало скрытые WebView-страницы, чтобы оформлять подписки через биллинговые системы мобильных операторов.

Программы анализировали SIM-карту устройства и активировались только для пользователей определенных операторов. Основными целями стали жители Малайзии, Таиланда, Румынии и Хорватии.

По данным Zimperium, впервые кампанию зафиксировали в марте 2025 года, а активность злоумышленников отслеживалась как минимум до января 2026-го. При этом часть инфраструктуры мошенников все еще продолжает работать.

Google утверждает, что зараженные приложения не распространялись через Google Play. В компании также заявили, что Android-устройства с сервисами Google Play автоматически защищены от известных версий вредоносного ПО благодаря Play Protect.

Тем не менее специалисты считают, что ситуация указывает на серьезные проблемы безопасности мобильных маркетплейсов и экосистемы Android в целом.

Три версии вредоносного ПО

Хакеры использовали сразу три варианта вредоносных программ, каждая из которых была нацелена на определенные сценарии мошенничества.

• Первая версия автоматически оформляла платные подписки через биллинговые порталы операторов связи.
• Вторая специализировалась на премиальных SMS-сервисах и активно атаковала пользователей в Таиланде.
• Третья совмещала SMS-мошенничество с системой уведомлений через Telegram, позволяя злоумышленникам в реальном времени отслеживать успешные заражения.

Особенно опасным оказался наиболее продвинутый вариант вредоносного ПО. После установки приложение проверяло SIM-карту и запускало атаку только при совпадении с заранее заданными операторами. Например, среди целей был малазийский DiGi.

Чтобы не вызывать подозрений, зараженные приложения отображали обычные веб-страницы для пользователей, которые не подходили под условия атаки. Если же устройство соответствовало нужному оператору, программа запускала скрытые механизмы оформления подписок и показывала фальшивые окна авторизации игровых аккаунтов.

Для перехвата кодов подтверждения злоумышленники использовали Google SMS Retriever API. После этого вредоносное ПО выполняло JavaScript-команды на скрытых страницах и автоматически подключало премиальные услуги.

Кроме того, исследователи обнаружили применение техники похищения cookie-файлов. Это позволяло поддерживать активные сессии в биллинговых системах операторов и обходить повторную авторизацию.

Кто оказался главной целью

Более половины всех атак пришлись на пользователей с SIM-картами Малайзии. На Таиланд и Румынию пришлось примерно по 15% заражений, а Хорватия составила около 1% активности кампании.

В общей сложности вредоносное ПО атаковало не менее десяти операторов связи. Среди них:

• DiGi
• Celcom
• U Mobile
• Telekom
• AIS
• Orange
• Vodafone
• TrueMove H
• dtac TriNet

Пик активности мошеннической схемы пришелся на сентябрь 2025 года. Несмотря на снижение активности в начале 2026-го, специалисты предупреждают, что угроза до сих пор остается актуальной.

Почему эксперты обеспокоены

Исследователи подчеркивают, что злоумышленники использовали легитимные функции Android и сервисов Google, которые изначально не считаются опасными. Среди них — Google SMS Retriever и Android CookieManager API.

По словам инженера по исследованиям ИИ Vineeta Sangaraju, проблема заключается в том, что существующие механизмы контроля не успевают за способами злоупотребления этими инструментами.

Эксперты также отмечают, что проблема давно вышла за рамки сторонних магазинов приложений. Даже официальные платформы продолжают пропускать вредоносное ПО и опасные расширения. Например, в апреле 2026 года специалисты Socket обнаружили более 100 расширений Google Chrome, которые собирали данные пользователей и следили за их активностью в интернете.

Специалисты советуют внимательно проверять источники загрузки приложений, не устанавливать APK-файлы из сомнительных ресурсов и регулярно обновлять систему безопасности устройства. Однако, по мнению аналитиков, этого уже недостаточно — индустрии требуется более серьезный пересмотр подходов к защите мобильных экосистем.

Теги:

Источник