Специалисты компании F6 (департамент Digital Risk Protection) зафиксировали масштабную вредоносную кампанию, нацеленную на владельцев Android-устройств в России. Злоумышленники распространяют банковский троян под видом «расширенных» и «18+» версий популярных приложений, таких как YouTube и TikTok, обещая пользователям доступ к заблокированному контенту и просмотру видео без рекламы.
Как устроена схема распространения вредоносных APK
По данным F6, с начала октября 2025 года обнаружено более 30 доменов, задействованных в распространении этой малвари. Еще летом 2025 года были зафиксированы первые подобные сайты, а осенью, после начала учебного года, произошел заметный всплеск регистрации новых доменных имен, используемых в атаке.
Злоумышленники создали сеть фишинговых ресурсов, маскирующихся под бренды иностранных видеохостингов YouTube и TikTok, к которым официальный доступ в России затруднен. Все сайты индексировались российскими поисковыми системами, что повышало вероятность того, что пользователь попадет на них через обычный поисковый запрос вроде «YouTube без рекламы» или «TikTok 18+ скачать».
Домены регистрировались в различных зонах: .ru, .top, .pro, .fun, .life, .live, .icu, .com, .cc. В именах активно использовались знакомые бренды и «маркетинговые» слова: ultra, mega, boost, plus, max, что создает иллюзию официального «премиального» продукта.
Какие приложения подделывают киберпреступники
Поддельные YouTube и TikTok 18+
Основной наживкой выступают «продвинутые» версии популярных приложений: TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced и «Ютуб-Плюс». Пользователю обещают:
— просмотр видео без рекламы;
— поддержку 4K и скачивание роликов;
— фоновое проигрывание музыки;
— работу даже при плохом интернете;
— доступ к заблокированному или «18+» контенту.
Все эти «функции» используются как приманка: чтобы их получить, жертве предлагают скачать и установить APK-файл со стороннего сайта. Вместо легального плеера на устройство попадает банковский троян.
Навигаторы, карты постов ДПС и оплата штрафов
Дополнительно злоумышленники маскируют вредоносные программы под навигаторы, онлайн-карты постов ДПС и приложения для оплаты штрафов. Такая маскировка ориентирована на широкую аудиторию автомобилистов, которые часто ищут подобные сервисы вне официальных магазинов приложений и готовы отключить защиту «Установка из неизвестных источников».
Функционал банковского трояна: какие данные под угрозой
Исследованный малварь обладает полным набором функций, характерных для современных банковских троянов под Android. После установки приложение запрашивает расширенные разрешения и получает возможность:
— читать и отправлять SMS (в том числе коды подтверждения от банков);
— совершать звонки;
— собирать список контактов и установленных приложений;
— получать информацию о сетевом подключении;
— автоматически запускаться при включении устройства;
— отображать свои элементы интерфейса поверх других окон (overlay-атаки).
Последний пункт особенно опасен: за счет наложения собственного окна поверх банковского приложения троян может подсовывать поддельные формы авторизации и платежные экраны, незаметно перехватывая логины, пароли, PIN-коды и данные банковских карт.
В совокупности это дает злоумышленникам практически полный контроль над устройством — от скрытого мониторинга действий пользователя до совершения операций от его имени. Конечная цель, как отмечают в F6, — кража финансовых данных и денежных средств жертв.
Почему кампания оказалась такой эффективной
По наблюдениям F6, ограничение доступа к YouTube и замедление обновления контента TikTok в России стало катализатором роста подобных предложений по «обходу блокировок». Пользователи, недовольные ограничениями и рекламой, активно ищут «альтернативные версии» приложений, часто игнорируя вопросы безопасности.
Киберпреступники эксплуатируют сразу несколько факторов риска:
— дефицит официального контента и желание обойти блокировки;
— готовность устанавливать APK-файлы со сторонних сайтов;
— доверие к знакомым брендам (YouTube, TikTok, навигаторы, госуслуги);
— низкую осведомленность о рисках банковских троянов.
Похожий подход злоумышленники использовали и в других кампаниях: по данным открытых отчетов крупных вендоров кибербезопасности, банковские трояны нередко маскируются под VPN-сервисы, клиенты для мессенджеров и «чистильщики» системы. В данном случае фокус сделан на видеохостингах и сервисах для автомобилистов.
По информации F6, все домены, задействованные в описанной кампании, на момент публикации уже заблокированы. Однако специалисты подчеркивают, что злоумышленники могут быстро зарегистрировать новые домены и повторить схему с минимальными изменениями.
Чтобы снизить риск заражения банковскими троянами, рекомендуется устанавливать приложения только из официальных магазинов (Google Play, корпоративные сто́ры производителей), не включать без необходимости установку из неизвестных источников, внимательно проверять запрашиваемые разрешения и использовать надежное мобильное антивирусное ПО. При любых подозрительных действиях смартфона — появлении лишних окон поверх банковских приложений, неизвестных SMS или списаний — стоит немедленно связаться с банком и провести полную проверку устройства.
