Мошенники используют поддельные ресурсы о беге для заражения Android-устройств вредоносным ПО
Специалисты F6 зафиксировали распространение Android-вредоноса BT_MOB через поддельные Telegram-каналы, имитирующие бренд спортивной одежды. Под видом приложения «Фитнес помощник» злоумышленники распространяют APK-файл, который получает доступ к данным устройства и SMS для хищения средств со счетов жертв.
Специалисты компании F6 зафиксировали распространение вредоносного программного обеспечения для Android через поддельные Telegram-каналы и ресурсы, имитирующие популярный российский бренд спортивной одежды. Как сообщили эксперты F6 изданию SecPost, злоумышленники создали поддельную страницу бренда к началу весенне-летнего сезона, нацелившись на аудиторию, интересующуюся бегом и здоровым образом жизни.
Выявленный поддельный Telegram-канал насчитывал 5,5 тысячи подписчиков и дублировал сообщения из официального канала бренда. На ресурсе под видом приложения «Фитнес помощник» для подсчета калорий предлагалось скачать APK-файл, содержащий вредоносную программу. Как сообщили аналитики, обнаруженное ВПО идентифицировано как BT_MOB — Android-вредонос, распространявшийся с начала 2025 года по модели MaaS (Malware as a Service).
Вредонос BT_MOB предоставляет злоумышленникам доступ к данным устройства, возможность скрытой аудио- и видеозаписи, а также трансляцию экрана. Вредонос использует службу Accessibility Service для разблокировки устройства, регистрации нажатий клавиш и автоматизации кражи учетных данных. После установки приложение запрашивает разрешения на доступ к push-уведомлениям, чтение и отправку SMS, а также сбор информации о состоянии устройства для последующего вывода денег со счетов.
Помимо этого, как отмечается в сообщении компании, аналогичное приложение распространяется через каналы-двойники других популярных ресурсов о здоровом образе жизни. Злоумышленники начали использовать схему в начале весны — в период начала бегового сезона и открытия регистрации на массовые забеги. Для снижения рисков блокировки они периодически скрывают пост со ссылкой на вредоносное приложение.
Также аналитики обнаружили неактивные боты, использовавшиеся под видом площадок для покупки и продажи слотов на российские марафоны. Их username (имя пользователя), как указывается в сообщении, не были связаны со спортивной тематикой и, предположительно, применялись в других схемах.
В компании F6 приводят рекомендации по защите от вредоносных Android-приложений: загружать программы только с официальных сайтов, следить за запрашиваемыми разрешениями, не переходить по ссылкам от незнакомых контактов, а также настраивать запрет на добавление в чаты незнакомыми пользователями в мессенджерах и соцсетях.
Ранее SecPost писал о том, что эксперты выявили шесть семейств Android-вредоносов, включая банковский троян PixRevolution, которые атакуют финансовые приложения и криптокошельки. Злоумышленники получают полный контроль над устройством через сервисы доступности Android и в режиме реального времени подменяют реквизиты получателя во время транзакций, что позволяет обходить стандартные методы защиты.
Читайте также
