В русскоязычном сегменте интернета появилась целая сеть сайтов, которые маскируются под порталы для скачивания «18+ версий» TikTok или «улучшенных» YouTube, но на самом деле распространяют Android-трояны. Аналогичные ресурсы ранее обнаружил и оператор «Мегафон», столкнувшийся с ними ещё летом 2025 года.
На страницах размещена реклама якобы продвинутых приложений. На деле все программы — поддельные. В F6, как передаёт ТАСС, перечислили те, что удалось зафиксировать:
- TikTok 18+
- YouTube Max, Boost, Mega, Ultra, Plus, Ultima Edition, Pro, Advanced
- «Ютуб плюс»
- «Оплата штрафов»
- «Без пробок» (мнимый навигатор)
- EasyRide (якобы карта постов ДПС)
«Мегафон» предоставил свой список вредоносных приложений:
- «ДПС Радар»
- «Поиск пострадавших»
- Telegram Unlock
- «Анти-глушитель»
Все эти «приложения» распространяются через однотипные сайты, которые активно выдавались поисковиками.
По данным F6, первые сайты из этой сети киберпреступники начали создавать летом 2025 года. Примерно тогда же их заметили и специалисты «Мегафона». Осенью, по словам старшего аналитика CERT F6 Александра Сапова, был зафиксирован всплеск регистрации доменов под такие ресурсы. С октября нашли более 30 доменов, и все они уже заблокированы.
Вместо обещанных приложений на устройство устанавливается Android-троян. Он способен:
- перехватывать и менять СМС-сообщения и звонки,
- собирать данные о контактах пользователя,
- считывать список установленного софта,
- выполнять действия в фоне без ведома владельца,
- запускаться автоматически при включении смартфона.
В F6 подчёркивают, что все сайты входили в единую сеть и активно продвигались в поисковой выдаче — это делало ловушку особенно опасной для рядовых пользователей.
