Власники Android-смартфонів у Росії зіткнулися з новою масштабною хвилею шкідливих атак: замість «преміум» версій YouTube та TikTok на пристрої користувачів встановлюється повноцінний банківський троян, здатний перехоплювати фінансові дані та здійснювати транзакції від імені жертви.
Масштаб кампанії: десятки доменів і фішингові копії популярних сервісів
За даними департаменту Digital Risk Protection компанії F6, з початку жовтня 2025 року виявлено понад 30 доменів, задіяних у цій шкідливій кампанії. Перші подібні ресурси реєструвалися ще влітку, однак саме восени, після старту навчального року, активність кіберзлочинців різко зросла.
Зловмисники створили розгалужену мережу фішингових сайтів, що імітують інтерфейс та брендинг відеохостингів YouTube і TikTok, доступ до яких у Росії обмежений. Сторінки добре індексуються в локальних пошукових системах, тому користувачі легко потрапляють на них за запитами на кшталт «YouTube без реклами», «скачати TikTok 18+» або «YouTube 4K APK».
Доменні імена реєструються у зонах .ru, .top, .pro, .fun, .life, .live, .icu, .com, .cc і активно використовують у назвах знайомі бренди та «маркетингові» позначки типу ultra, mega, boost, plus, max. Це створює враження офіційного «розширеного» продукту, що особливо небезпечно для недосвідчених користувачів.
Які додатки підміняють: від YouTube Max до «карт постів ДПС»
Псевдо-YouTube без реклами та TikTok 18+ як основна приманка
Головна роль у схемі відведена підробленим «просунутим» версіям популярних додатків: TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced та «Ютуб-Плюс».
Користувачам обіцяють перелік «преміум-функцій»:
— повний перегляд відео без реклами;
— підтримка 4K і завантаження роликів на пристрій;
— фонове відтворення музики при вимкненому екрані;
— стабільна робота при повільному інтернет-з’єднанні;
— доступ до заблокованого або контенту 18+.
Щоб отримати ці можливості, користувачам пропонують завантажити APK-файл зі стороннього сайту і вручну встановити його, обійшовши захист Google Play. Саме на цьому етапі на смартфон потрапляє банківський троян замість очікуваного відеоплеєра.
Навігатори, карти постів ДПС та сервіси оплати штрафів
Паралельно виявлено шкідливі програми, які маскуються під автомобільні навігатори, онлайн-карти розташування постів ДПС та додатки для оплати штрафів. Така легенда орієнтована на водіїв, які традиційно шукають подібні інструменти поза межами офіційних сто́рів і часто свідомо вмикають опцію «встановлення з невідомих джерел».
Можливості банківського трояна: від SMS-кодів до overlay-атак
Проаналізований зразок шкідливого ПЗ має набір можливостей, характерний для сучасних Android-банкерів (банківських троянів). Після інсталяції програма запитує розширені дозволи і отримує змогу:
— читати та відправляти SMS-повідомлення (включно з одноразовими кодами банків);
— здійснювати дзвінки з пристрою жертви;
— збирати список контактів та встановлених застосунків;
— аналізувати параметри мережевого підключення;
— запускатися автоматично при вмиканні смартфона;
— відображати власні вікна поверх інших додатків.
Остання функція відкриває шлях до так званих overlay-атак: троян показує підроблену форму авторизації поверх справжнього банківського застосунку. Користувач вводить логін, пароль, PIN-код або реквізити картки, не підозрюючи, що дані потрапляють безпосередньо до зловмисників.
У поєднанні з доступом до SMS та можливістю ініціювати операції це дає кіберзлочинцям майже повний контроль над фінансовою активністю користувача: від моніторингу балансів до підтвердження платежів і переказів.
Чому користувачі так легко стають жертвами шкідливих APK
Обмежений доступ до YouTube і уповільнення оновлення контенту TikTok у Росії створили сприятливий ґрунт для подібних схем. Частина аудиторії активно шукає «альтернативні клієнти», «модифіковані версії» або APK-файли, які нібито дозволяють обійти блокування й прибрати рекламу.
Кіберзлочинці одночасно експлуатують кілька факторів ризику:
— дефіцит офіційного контенту і прагнення обійти обмеження;
— готовність встановлювати нелегальні APK зі сторонніх ресурсів;
— високе довір’я до відомих брендів (YouTube, TikTok, навігатори, «держпослуги»);
— низьку обізнаність щодо того, як працюють банківські трояни та overlay-атаки.
Подібний підхід використовується й в інших кампаніях: за відкритими звітами вендорів кібербезпеки, банківські трояни часто маскуються під VPN-сервіси, «антивіруси», клієнти для месенджерів чи «очищувачі системи». У цій хвилі акцент зміщено на відеосервіси та сервіси для автомобілістів.
За інформацією F6, на момент публікації відомі домени, що брали участь у кампанії, вже заблоковані. Втім, зареєструвати нові й відновити схему для зловмисників не складає жодних технічних труднощів.
Щоб мінімізувати ризики зараження, варто суворо дотримуватися базових правил кібергігієни: встановлювати програми лише з офіційних магазинів (Google Play, сто́ри виробників), не вмикати «встановлення з невідомих джерел» без критичної потреби, уважно перевіряти запитувані дозволи та використовувати надійне мобільне антивірусне рішення. Якщо смартфон поводиться підозріло — з’являються невідомі вікна поверх банківських додатків, фіксуються дивні SMS чи списання коштів — необхідно негайно зв’язатися з банком, заблокувати операції та провести повну перевірку пристрою.
