Опасное вредоносное Android-ПО маскируется под TikTok и Minecraft и тайно списывает деньги с пользователей
Исследователи из Zimperium сообщили, что в схеме использовалось почти 250 поддельных приложений. Среди них были копии TikTok, Minecraft, Grand Theft Auto, Instagram Threads и Facebook Messenger. После установки такие программы подключали жертв к премиальным сервисам без их согласия.
Как работала схема
Кампания отличалась высокой степенью автоматизации и использовала сразу несколько методов для сокрытия активности. Вредоносное ПО применяло JavaScript-инъекции, перехватывало одноразовые пароли и запускало скрытые WebView-страницы, чтобы оформлять подписки через биллинговые системы мобильных операторов.
Программы анализировали SIM-карту устройства и активировались только для пользователей определенных операторов. Основными целями стали жители Малайзии, Таиланда, Румынии и Хорватии.
По данным Zimperium, впервые кампанию зафиксировали в марте 2025 года, а активность злоумышленников отслеживалась как минимум до января 2026-го. При этом часть инфраструктуры мошенников все еще продолжает работать.
Google утверждает, что зараженные приложения не распространялись через Google Play. В компании также заявили, что Android-устройства с сервисами Google Play автоматически защищены от известных версий вредоносного ПО благодаря Play Protect.
Тем не менее специалисты считают, что ситуация указывает на серьезные проблемы безопасности мобильных маркетплейсов и экосистемы Android в целом.
Три версии вредоносного ПО
Хакеры использовали сразу три варианта вредоносных программ, каждая из которых была нацелена на определенные сценарии мошенничества.
- Первая версия автоматически оформляла платные подписки через биллинговые порталы операторов связи.
- Вторая специализировалась на премиальных SMS-сервисах и активно атаковала пользователей в Таиланде.
- Третья совмещала SMS-мошенничество с системой уведомлений через Telegram, позволяя злоумышленникам в реальном времени отслеживать успешные заражения.
Особенно опасным оказался наиболее продвинутый вариант вредоносного ПО. После установки приложение проверяло SIM-карту и запускало атаку только при совпадении с заранее заданными операторами. Например, среди целей был малазийский DiGi.

Чтобы не вызывать подозрений, зараженные приложения отображали обычные веб-страницы для пользователей, которые не подходили под условия атаки. Если же устройство соответствовало нужному оператору, программа запускала скрытые механизмы оформления подписок и показывала фальшивые окна авторизации игровых аккаунтов.
Для перехвата кодов подтверждения злоумышленники использовали Google SMS Retriever API. После этого вредоносное ПО выполняло JavaScript-команды на скрытых страницах и автоматически подключало премиальные услуги.
Кроме того, исследователи обнаружили применение техники похищения cookie-файлов. Это позволяло поддерживать активные сессии в биллинговых системах операторов и обходить повторную авторизацию.
Кто оказался главной целью
Более половины всех атак пришлись на пользователей с SIM-картами Малайзии. На Таиланд и Румынию пришлось примерно по 15% заражений, а Хорватия составила около 1% активности кампании.
В общей сложности вредоносное ПО атаковало не менее десяти операторов связи. Среди них:
- DiGi
- Celcom
- U Mobile
- Telekom
- AIS
- Orange
- Vodafone
- TrueMove H
- dtac TriNet
Пик активности мошеннической схемы пришелся на сентябрь 2025 года. Несмотря на снижение активности в начале 2026-го, специалисты предупреждают, что угроза до сих пор остается актуальной.
Почему эксперты обеспокоены
Исследователи подчеркивают, что злоумышленники использовали легитимные функции Android и сервисов Google, которые изначально не считаются опасными. Среди них — Google SMS Retriever и Android CookieManager API.
По словам инженера по исследованиям ИИ Vineeta Sangaraju, проблема заключается в том, что существующие механизмы контроля не успевают за способами злоупотребления этими инструментами.
Эксперты также отмечают, что проблема давно вышла за рамки сторонних магазинов приложений. Даже официальные платформы продолжают пропускать вредоносное ПО и опасные расширения. Например, в апреле 2026 года специалисты Socket обнаружили более 100 расширений Google Chrome, которые собирали данные пользователей и следили за их активностью в интернете.
Специалисты советуют внимательно проверять источники загрузки приложений, не устанавливать APK-файлы из сомнительных ресурсов и регулярно обновлять систему безопасности устройства. Однако, по мнению аналитиков, этого уже недостаточно — индустрии требуется более серьезный пересмотр подходов к защите мобильных экосистем.
Источник: bgr
iOS / Android / WP
