Опасный маршрут: мошенники похищают деньги таксистов и курьеров через приложения-радары

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новую схему мошенников, которую используют против водителей такси и доставщиков. Под видом приложений-радаров коэффициентов для такси злоумышленники распространяют через мессенджеры вредоносное ПО, которое позволяет похищать деньги с банковских счетов пользователей и оформлять на них кредиты. Киберпреступники используют эту схему с октября 2025 года и задействуют для распространения вредоносных программ как минимум 9 Telegram-каналов. Средняя сумма похищенного у пользователей составляет 11,2 тыс. ₽.

Шеф, не трогай!

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую мошенническую схему, которую используют для кражи денег водителей. Под видом условно полезных приложений для Android злоумышленники распространяют троян удалённого доступа (RAT).

Первое вредоносное приложение нацелено на конкретную профессиональную группу водителей – таксистов и курьеров. В названии этой программы используются слова «радар» и «кэф».

Кэф на жаргоне таксистов – повышенный коэффициент стоимости заказа при высоком спросе. Чем выше коэффициент конкретной поездки, тем больше получит за неё водитель.

В интернете немало приложений, которые заявляют функционал показа на карте коэффициента спроса на такси в режиме онлайн – как от крупных компаний, так и сторонних частных разработчиков. Радар коэффициентов от мошенников маскируется под программу, которая обещает выгодные преимущества по сравнению с приложением от известного бренда. Например, пользователям обещают, что таксометр показывает спрос в любом интересующем районе и не только на тариф «эконом», но и на другие.

Мошенники утверждают, что приложение показывает таксисту «точку Б» (конечную точку поездки) и цену поездки – в отличие от оригинальной программы. «Такого нет ни у кого», – комментируют злоумышленники.

Злоумышленники привлекают внимание пользователей к вредоносному приложению сообщениями, которые оставляют в профильных группах таксистов и каналах в мессенджерах и социальных сетях. Ссылки из этих сообщений ведут в Telegram-каналом с вредоносным APK-файлом.

После установки на устройство вредоносное приложение запрашивает разрешения на оптимизацию батареи и доступ к push-уведомлениям, права на чтение и отправку SMS, чтение информации о состоянии устройства и выполнение вызовов. После получения всех необходимых прав программа под предлогом «бесплатной подписки» предлагает ввести данные банковской карты. Если пользователь это сделает, мошенники получат возможность похитить деньги с банковского счёта пользователя, а также оформить на него микрозаймы и кредиты.

Оборотень желает познакомиться

Второе приложение маскируется под программу, в названии которой есть слова «ДПС» и «радар». В мошеннической рекламе, которую распространяют в социальных сетях и мессенджерах, это приложение позиционируется как «уникальное» и «не имеющее аналогов во всём мире». Реклама утверждает, что программа предупреждает о постах ДПС и камерах фиксации нарушений правил дорожного движения, пробках, авариях и дорожных работах.

Злоумышленники распространяют рекламу вредоносного приложения через чаты, каналы и сообщества водителей – как общие, так и профильные, например, связанные с грузоперевозками, такси, доставкой и каршерингом. Пользователям, которые установят программу в течение 72 часов, обещают перевести на банковскую карту 1000 ₽.

Ссылки из такой рекламы ведут в Telegram-канал с рекламой приложения и APK-файлами, которые предлагают «установить прямо сейчас». Чтобы привлечь внимание пользователей, злоумышленники обещают 90 дней «бесплатной VIP-подписки».

Скам-группа, которая работает по этим сценариям, использует схему как минимум с 14 октября 2025 года, и задействует для распространения вредоносных программ как минимум 9 Telegram-каналов.. Средняя сумма, похищенная мошенниками у пользователей, составляет 11,2 тыс. ₽.

Ранее в сентябре 2025 года специалисты F6 и RuStore обнаружили и заблокировали более 600 доменов, распространявших DeliveryRAT под видом популярных приложений для доставки еды, маркетплейсов, банковских сервисов и трекинга посылок. А в октябре аналитики департамента киберразведки (Threat Intelligence) F6 представили исследование обновлённой версии DeliveryRAT, которая маскировалась, кроме вышеперечисленных сервисов, под приложения для поиска специалистов и попутчиков, совместного просмотра видео и фильмов, покупки автобусных билетов, размещения объявлений и нотариальный сервис.

«Киберпреступные группировки постоянно находятся в поиске новых схем обмана, даже если старые хорошо работают, и разрабатывают профильные сценарии под конкретные категории пользователей. На этот раз в опасной зоне оказались таксисты, доставщики, курьеры и обычные автолюбители».

Евгений Егоров

Ведущий аналитик департамента Digital Risk Protection компании F6

Рекомендации специалистов F6 по защите от вредоносных Android-приложений

1. Не переходите по ссылкам от незнакомых контактов.
2. Загружайте приложения только c официальных сайтов, например, с сайта магазина приложений – и только в тех случаях, если вы точно знаете, для чего эти приложения вам необходимы.
3. Следите за правами приложений, выдавайте их по принципу «необходимо и достаточно». Например, если приложение для заказа пиццы просит дать ему разрешения для чтения контактов и отправки SMS – это сигнал тревоги.
4. Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
5. Если вы обнаружили подозрительный сайт, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и передадут её регуляторам для блокировки.