Рост фишинга в Telegram составил 800%

Рост фишинга в Telegram составил 800%

Рост фишинга в Telegram составил 800%

Пользователи Telegram столкнулись с ростом фишинговых атак. Воруют частные и бизнес-аккаунты. Новая угроза — переадресация звонков на номер мошенников для авторизации под аккаунтом жертвы.

По данным американской Cofense, занимающейся борьбой с кибератаками, рост Telegram-фишинга в 2022 году составил 800%. “В первую очередь для этих целей злоумышленники использовали боты”, — цитирует экспертов “Ъ”.

К началу 2023 года в России фишинг стал одним из основных способов мошенничества в мессенджере, подтверждают в “Коде безопасности”.

“Увеличение числа атак на бизнес-каналы и на пользователей Telegram связано с тем, что сам мессенджер приобрел большую популярность, а значит, стал хорошим каналом для распространения фишинговых атак и “вкусной” целью для мошенников”, — комментирует цифры для Anti-Malware.ru главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

До этого аферисты массово атаковали социальные сети, теперь вектор атаки сместился в сторону Telegram.

По данным Group-IB, в России уже выявлено не менее 1 тыс. мошеннических группировок, работающих и координирующих действия в Telegram, в том числе 34 действующие русскоязычные группы для распространения “программ-стилеров”. Сегодня компания выпустила аналитический отчет по основным угрозам будущего года.

В среднем в чате каждой группировки состоит около 200 участников, уточнил ведущий аналитик Group-IB департамента Digital Risk Protection Евгений Егоров.

Более серьезную опасность, чем фишинг несет новый способ авторизации в мессенджере, считает владелец Telegram-бота “Глаз бога” Евгений Антипов.

В середине года Telegram перестал отправлять код для авторизации через СМС: для входа в ПК-клиенте или браузере теперь требуется активированный клиент мессенджера на мобильном устройстве, куда и отправляется код.

Злоумышленник, для которого важно попасть в Telegram-аккаунт жертвы, может взломать аккаунт, если настроит переадресацию звонков на свой номер телефона, подтвердив за жертву ее личность, считает Антипов.

Для этого достаточно использовать паспортные данные, которые можно найти в слитых базах данных.

По словам Овчинникова, схема с переадресацией звонков реальна, но трудозатратна. Скорее всего, она будет выполняться только таргетированно против владельцев определенных каналов. Обычным пользователям стоит больше беспокоиться о фишинговых атаках и не переходить по подозрительным ссылкам.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru