Пульс в красной зоне: мошенники распространяют ВПО через поддельные ресурсы для любителей бега и ЗОЖ

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила схемы мошенников, которые нацелены на любителей бега и здорового образа жизни. Для распространения вредоносных программ для атак мобильных устройств на базе Android злоумышленники создали к началу весенне-летнего сезона поддельную страницу популярного российского бренда одежды для бега и других видов спорта.

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6, зафиксировали активность поддельного Telegram-канала с 5,5 тысячами подписчиков, который практически идентичен официальному каналу бренда спортивной одежды, и куда дублировались сообщения из легитимного канала. На поддельном ресурсе под видом приложения «Фитнес помощник» для подсчета калорий предлагается скачать APK-файл, в котором спрятано вредоносное программное обеспечение, нацеленное на пользователей Android.

Эксперты департамента киберразведки (Threat Intelligence) F6 определили вредоносную программу, как BT_MOB – Android ВПО, обнаруженное исследователями в начале 2025 года. Оно распространялось среди киберпреступников по модели «ВПО как услуга» (MaaS). BT_MOB предоставляет злоумышленникам доступ к данным устройства жертва, а также возможность ведения скрытой аудио- и видеозаписи, трансляцию с экрана устройства. ВПО использует службу Accessibility Service для разблокировки устройств, регистрации нажатий клавиш и автоматизации кражи учётных данных.

После установки файла вредоносная программа запрашивает различные разрешения, доступ к push-уведомлениям, права на чтение и отправку SMS, чтение информации о состоянии устройства для дальнейшего вывода денег со счетов жертв.

Подобное приложение использовалось в схеме с радарами для водителей.

Кроме того, киберпреступники распространяют приложение «Фитнес помощник» через каналы-двойники других популярных ресурсов о здоровом образе жизни.

Как отмечают специалисты F6, нацеленную на любителей бега схему злоумышленники начали использовать в начале весны, когда начинается высокий беговой сезон, открываются заявки на популярные забеги. Еще один временной фактор для киберпреступников: дождаться, пока на поддельном ресурсе будет достаточно подписчиков. Чтобы снизить риски блокировки, злоумышленники время от времени скрывают пост со ссылкой на вредоносное приложение.

Кроме того, аналитики департамента защиты от цифровых рисков (Digital Risk Protection) F6 обнаружили неактивные боты, которые использовались под видом покупки и продажи слотов на самые популярные российские марафоны. Юзернеймы ботов никак не были связаны со спортивной тематикой, а скорее всего изначально использовались в других схемах.

«Киберпреступники конкурируют между собой за внимание потенциальных жертв. Самый простой и распространённый способ — маскироваться под известный бренд или актуальный инфоповод. В том числе злоумышленники сознательно выбирают нишевые тематики, где аудитория не опасается столкнуться с кибермошенничеством».

Евгений Егоров

Ведущий аналитик департамента Digital Risk Protection компании F6

Рекомендации специалистов F6 по защите от вредоносных Android-приложений:

• Не переходите по ссылкам от незнакомых контактов.
• Установите в мессенджерах и соцсетях запрет на добавление вас в чаты незнакомыми пользователями.
• Загружайте приложения только c официальных сайтов, например, с сайта магазина приложений – и только в тех случаях, если вы точно знаете, для чего эти приложения вам необходимы.
• Следите за правами приложений, выдавайте их по принципу «необходимо и достаточно». Например, если приложение для заказа пиццы просит дать ему разрешения для чтения контактов и отправки SMS – это сигнал тревоги.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
• Если вы обнаружили подозрительный сайт, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и передадут её регуляторам для блокировки.