Игры кончились: российские геймеры под атакой хакеров

Бесплатно – значит, опасно

Число атак на Android-устройства, в которых вредоносные файлы маскировались под популярные среди детей игры, в первые четыре месяца 2025 года увеличилось по сравнению с аналогичным периодом 2024-го почти на 60%, сообщили SecPost в «Лаборатории Касперского». Речь шла о подделках под Minecraft, Roblox, Brawl Stars и Genshin Impact, рассказал Secpost руководитель Kaspersky GReAT в России Дмитрий Галов.

С подобными мошенническими схемами уже начали работать российские регуляторы. Так, в декабре действия мошенников стали одной из причин блокировки Роскомнадзором игровой платформы Roblox. Как сообщали в ведомстве, она не выполняла требования регулятора по устранению противоправных схем. В МВД информировали, что мошенники через игру обманным путем узнают данные банковских карт у детей и выводят с них деньги.

В целом злоумышленники используют интерес пользователей компьютеров и мобильных устройств к играм, маскируя вредоносное ПО под моды, читы и прочие программы с дополнительной функциональностью, отметил эксперт. Так, число атак, где зловреды выдавались за читы, выросло год к году почти втрое. Неизменно привлекает россиян и предложение скачать бесплатно игры, за которые обычно нужно платить.

«Мы обнаружили кампанию, в рамках которой на торрентах распространялись троянцы вод видом бесплатных версий популярных игр для ПК. После установки пользователь действительно получал доступ к игре, однако вместе с ней на устройство загружался скрытый майнер на базе XMRig, использовавший ресурсы компьютера для добычи криптовалюты», — привел пример Галов.

Для маскировки злоумышленники выбирали игры-симуляторы BeamNG.drive, Dyson Sphere Program, Universe Sandbox и игру Garry’s Mod, где не существует каких-то определенных целей и задач, уточнил представитель Kaspersky GReAT. При этом 70% пользователей, загрузивших майнер в 2025 году, сделали это при скачивании BeamNG.drive.

«Известны случаи, когда атакующие встраивали вредоносное ПО в моды для популярных игр. В частности, так распространяется Necro — загрузчик для Android, который скачивает и запускает на зараженном смартфоне другие вредоносные компоненты в зависимости от того, какие команды дадут создатели троянца», — добавил Галов.

Игра на эмоциях

При росте числа инцидентов, связанных с видеоиграми, такие атаки становятся все более целевыми и адаптивными, говорит аналитик сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT «Инфосистемы Джет» Станислав Янчев. Злоумышленники используют эмоции геймеров, заманивая их на сторонние ресурсы.

«Чаще всего это фишинговые сайты, маскирующиеся под официальные, чтобы украсть персональные данные или ценные игровые предметы. Также встречаются персонализированные предложения модов, плагинов или шейдеров с зараженными файлами», — пояснил Янчев. Покупка игровой валюты или загрузка пиратского ПО может привести к заражению ПК, потере аккаунта и ценных предметов, компрометации личных и финансовых данных, подчеркнул он.

Кроме мимикрирующих под официальные игровые порталы и платформы фишинговых ресурсов, злоумышленники используют рассылку сообщений с предложением скачать популярную игру «бесплатно» или по очень низкой цене, нередко используя аккаунты взломанных пользователей или фейковые учетные записи разработчиков, объяснил Янчев.

«Отдельно стоит отметить пиратство. Многие пользователи предпочитают не покупать игры, а получать их бесплатно, к тому же существуют проблемы с доступом к зарубежным игровым площадкам. Злоумышленники эксплуатируют эту тему и создают страницы, где, загружая бесплатную версию, пользователь получает на свое устройство вредоносное ПО», — комментирует эксперт.

Официальный источник – не гарантия безопасности

Для безопасности пользователям стоит обращаться только к официальным источникам, где вероятность встречи с вредоносным ПО крайне редка, советует Янчев. Однако и такой риск, по его словам, нельзя полностью исключить. Например, злоумышленники маскировали опасные программы под небольшие инди-игры с реальным игровым интерфейсом, размещали их на платформе Steam и похищали данные доверчивых пользователей.

«Несмотря на то, что система модерации Valve тщательно проверяет каждую игру перед релизом, хакерам удалось найти лазейку. После одобрения разработчики могут выпускать небольшие патчи, и, как полагается, именно через такие “официальные” апдейты вредоносный код проникал к пользователям, когда внимание модераторов уже было ослаблено.

Помимо этого уже в конце марта этого года, как сообщил «Коммерсантъ», мошенники стали использовать российского дистрибутора компьютерных игр «Бука» для хищения средств пользователей. Как сообщили изданию в Т-Банке, который уже начал блокировать покупки на сайте этого магазина, злоумышленники под разными предлогами узнают реквизиты жертвы и с ее счета покупают цифровые товары (ключи и коды) для дальнейшей перепродажи, либо отправляют файл с вирусом, получают доступ к СМС, узнают реквизиты и делают покупку.

Также злоумышленники «обитают» в самих играх, где ведут общение с игроками через чаты, добавил представитель Jet CSIRT. В этом случае целью становятся, как правило, не данные пользователя, а его игровые вещи, которые порой имеют весьма высокую цену.

Все та же социальная инженерия

Киберпреступники играют на низкой осведомленности игроков в вопросах безопасности и активно применяют методы социальной инженерии для обмана, говорит младший аналитик отдела анализа и оценки цифровых угроз Infosecurity «Софтлайн Решения» (ГК Softline) Дмитрий Куликов.

«Они предлагают быстрый заработок, взлом игры для получения внутриигровой валюты, модификации для разблокировки закрытых функций, достижений или дополнений. Неопытный пользователь, воодушевленный получением преимуществ в игре, попадет в ловушку», — пояснил эксперт.

Отдельный пласт угроз, по словам Куликова, возник на фоне блокировок официальных способов оплаты и ресурсов: участились случаи появления проектов, якобы помогающих пополнить счет внутриигровой валютой в обход легальных методов. Цель таких схем – получить данные пользователя, его деньги или вычислительные мощности для майнинга или ботнетов.

Среди недавних инцидентов – распространение вредоносных модификаций для Discord, приводит пример Куликов. Злоумышленники через взломанные аккаунты запускают бота, рассылающего сообщения во все чаты на серверах, где состояла жертва. Они могут содержать ссылки на фишинговые ресурсы, нацеленные на кражу персональных или платежных данных, файлы с вирусами, предложения о покупке банковских карт с контактами для связи, а также скриншоты с призывами зарегистрироваться в онлайн-казино и получить бонусы.

Похожие схемы действуют и в других каналах, продолжил эксперт. Так, в Steam незнакомцы добавляются в друзья и предлагают участие в турнире, где нужно сделать взнос или войти под своим аккаунтом. В итоге игрок может лишиться доступа к профилю.

Какой контент в зоне риска

Можно выделить несколько факторов, которые увеличивают риск атаки, говорит старший инженер технического расследования Solar 4RAYS ГК «Солар» Денис Чернов. Это непопулярность контента или ресурса, где он размещен, неизвестный или недоверенный автор, распространение вне официальной площадки, читерские модификации, бесплатность, а также требование отключить защиту и добавить в исключения антивируса.

«Также можно отметить ситуации с обнаружением в многопользовательских играх уязвимостей, позволяющих удаленно запускать вредоносный код в системах пользователей. Известные случаи довольно редки, но риск существует», — отметил Чернов.

Некий процент вредоносных программ, несмотря на модерацию, есть и будет на любой платформе, где сторонние разработчики имеют возможность выкладывать контент, добавил представитель Solar, комментируя случаи размещения такого ПО на Steam и других официальных ресурсах.

«Вручную проверять весь исходный код каждой программы при всех ее обновлениях никто не будет, а автоматизированные способы проверки могут пропустить нетипичные закладки в коде. Кроме того, программе не обязательно содержать именно вредоносный код, она может иметь уязвимость, которую создали нарочно», — обращает внимание Чернов.

Чем отвечают разработчики

Схем атак на геймеров много – от подложных офферов, когда пользователю предлагают от имени Steam обмен внутриигрового предмета на деньги и, получив вещь, исчезают, до классического фишинга с сообщениями вроде: «это твой профиль?» и ссылками на страницы, визуально копирующими официальный сервис, говорит директор Организации развития внутриигровой индустрии Василий Овчинников.

«Распространены и ситуации с “прогревом” доверия, когда под видом сделки, например, со скинами, пользователя убеждают передать ценности или даже криптовалюту без каких-либо гарантий, иногда с использованием доверительных технических средств вроде браузерных расширений, подменяющих отображаемую информацию», — рассказывает Овчинников.

Отдельно руководитель РВИ отметил создание фейковых страниц прямо на платформах. Так, например, было с Helldivers 2, когда злоумышленники копировали страницу популярного проекта и пытались продавать несуществующие копии, пока такие материалы не удалялись модерацией.

«При этом важно понимать, что это часть общей картины: киберпреступность растет вместе с цифровой средой в целом, и игровые платформы здесь не уникальны. Их используют так же, как любые соцсети или мессенджера, за счет тех же механизмов социальной инженерии и технических инструментов», — подчеркнул Овчинников. Тем не менее, этот вопрос требует системной работы как от платформ, так и от индустрии и пользователей, добавил он.

Разработчики и издатели игр в России для повышения защищенности своих пользователей действуют примерно в одной логике с глобальными платформами, отмечает директор РВИ. Используется комбинация технической защиты, модерации и работы с пользователем. Для аккаунтов применяют двухфакторную аутентификацию и контроль подозрительных входов, проверяют сборки и обновления на вредоносный код, фильтруют ссылки и сообщения в чатах, блокируя злоумышленников. Также компании требуют прозрачности использования античитов и стороннего софта, информируют игроков о фишинге и советуют не скачивать моды из непроверенных источников, продолжил Овчинников.

«Особое внимание стоит уделять безопасности детей в играх, и здесь речь не только о технических мерах, но и о культуре поведения. Взрослые, родители и педагоги должны вовремя и простым языком объяснять детям, на что обращать внимание. Сегодня мошенники действуют на любых площадках – от Counter-Strike и Roblox до Discord и Telegram, используя одни и те же методы – социальную инженерию, манипуляции и давление», — комментирует эксперт.

Если доступ к настоящему контенту обеспечен, и все желающие могут его скачать, то необходимая осмотрительность со стороны автора или распространителя уже проявлена, считает генеральный директор студии «Мгла» Альберт Жильцов. Заметив распространение постороннего контента под видом его продукции, правообладатель требует удалить это из сети.

«В целом со времен FTP ничего не поменялось: нужно думать, что и у кого качаешь. А вот умение думать у аудитории, к сожалению, снизилось. При текущей массовости и открытости доступа к любым ресурсам средний уровень пользователя сети давно снизился ниже уверенного. Чтобы обмануть современного человека, стараться нужно уже значительно меньше, чем в предыдущие поколения», — полагает Жильцов.