Специалисты компании F6, занимающейся созданием технологий для противодействия киберугрозам, выявили мошенническую схему, ориентированную на сторонников бега и активного образа жизни. К началу активного спортивного сезона злоумышленники создали фальшивую страницу известного российского производителя одежды для бега и фитнеса, чтобы распространять вредоносное ПО для устройств Android. Об этом информировали CNews представители F6.
Сотрудники департамента защиты от цифровых рисков (Digital Risk Protection) F6 зарегистрировали активность фальшивого Telegram-канала с аудиторией в 5,5 тысяч человек, почти неотличимого от официального канала спортивного бренда и копирующего его публикации. На этом ресурсе под видом программы «Фитнес помощник» для контроля питания предлагается загрузить APK-файл, содержащий вредоносный код, предназначенный для пользователей Android.
Эксперты отдела киберразведки (Threat Intelligence) F6 идентифицировали вредонос как BT_MOB – Android-ВПО, впервые обнаруженное исследователями в начале 2025 года. Оно распространялось в преступной среде по модели «вредоносное ПО как услуга» (MaaS). BT_MOB предоставляет злоумышленникам доступ к данным устройства жертвы, а также позволяет тайно вести аудио- и видеозапись, транслировать содержимое экрана. Вредонос использует службу специальных возможностей (Accessibility Service) для разблокировки устройств, перехвата нажатий клавиш и автоматизированного хищения учетных данных.
После инсталляции вредоносная программа запрашивает многочисленные разрешения, включая доступ к push-уведомлениям, возможность чтения и отправки SMS, а также получение данных о состоянии устройства для последующего списания средств со счетов жертв.
Аналогичное приложение ранее применялось в мошеннической схеме, связанной с радарами для автомобилистов.
Помимо этого, киберпреступники продвигают приложение «Фитнес помощник» через клоны каналов других популярных ресурсов, посвященных здоровому образу жизни.
Как подчеркивают в F6, схема, нацеленная на бегунов, была запущена с началом весны, когда стартует активный беговой период и открывается регистрация на массовые забеги. Еще одним временным фактором для злоумышленников стало накопление достаточного числа подписчиков на фальшивом ресурсе. Чтобы уменьшить риск блокировки, мошенники периодически скрывают пост со ссылкой на вредоносное приложение.
Кроме того, аналитики департамента защиты от цифровых рисков (Digital Risk Protection) F6 обнаружили неактивных ботов, которые имитировали покупку и продажу мест на самые известные российские марафоны. Имена этих ботов не были связаны со спортивной тематикой и, вероятно, изначально использовались в других мошеннических схемах.
«Злоумышленники в цифровом пространстве соперничают за привлечение пользователей. Наиболее частый и легкий метод — имитировать популярную компанию или использовать злободневную новость. Преступники также целенаправленно обращаются к узким сферам, где люди менее всего ожидают стать жертвой онлайн-обмана», — отметил Евгений Егоров, старший эксперт F6 Digital Risk Protection.
Советы от экспертов F6 для безопасности от опасных приложений на Android
Избегайте переходов по ссылкам, полученным от неизвестных отправителей.
Активируйте в мессенджерах и социальных сетях настройки, запрещающие добавление вас в чаты незнакомцами.
Скачивайте программы исключительно с проверенных источников, таких как официальные магазины приложений, и только когда вы четко понимаете их необходимость.
Контролируйте запрашиваемые приложениями разрешения, предоставляя лишь минимально необходимые. К примеру, если сервис для доставки еды требует доступ к вашим контактам или СМС — это повод насторожиться.
В случае компрометации данных вашей банковской карты, немедленно заблокируйте ее через службу поддержки банка или с помощью мобильного приложения.
При обнаружении подозрительного веб-ресурса, отправьте ссылку или данные на платформу «Антифишинг». Специалисты F6 изучат информацию и направят ее в регулирующие органы для принятия мер.
