Мошенники знают ваши слабые места: почему вы добровольно установите троян под видом YouTube Pro

Русскоязычные сайты, маскирующиеся под страницы для скачивания "расширенных" или "18+" версий TikTok и YouTube, на деле распространяют трояны для Android. Об этом сообщает ТАСС. По данным специалистов, вместо обещанных приложений пользователи получают вредоносное ПО, которое незаметно закрепляется в системе и открывает злоумышленникам доступ к функциям устройства.

Как устроена схема и кто её обнаружил

О подозрительных ресурсах рассказали в ИБ-компании F6: на каждом из таких сайтов размещена реклама приложения, которое выглядит как популярный сервис с "дополнительными возможностями", но фактически является вредоносным. Аналогичные ресурсы выявил и оператор связи "Мегафон" — его специалисты столкнулись с ними летом 2025 года. В обоих случаях речь идёт о веб-страницах, которые имитируют привычные порталы загрузки и пытаются убедить пользователя установить файл под видом "улучшенной" версии известной программы.

В F6 считают, что обнаруженные сайты связаны между собой и входят в единую сеть. Сроки появления этой инфраструктуры тоже обозначены: первые случаи создания таких ресурсов фиксировались летом 2025 года. Эту информацию подтвердил старший аналитик второй линии CERT департамента Digital Risk Protection Александр Сапов, отметив, что примерно тогда же с похожими сайтами столкнулись и специалисты "Мегафона".

Какие приложения используют как приманку

F6 перечислила названия программ, которые удалось обнаружить на подобных площадках. Среди них — TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced и "Ютуб плюс". Набор названий построен так, чтобы звучать правдоподобно и обещать "расширенный" функционал, хотя реальная цель — подмена на троян.

Параллельно на этих же ресурсах продвигались и приложения под другие бытовые сценарии — "Оплата штрафов", "Без пробок" (как будто навигатор) и EasyRide (как будто онлайн-карта постов ДПС). Со своей стороны представитель "Мегафона" передал ТАСС список выявленных у оператора приманок: "ДПС Радар", "Поиск пострадавших", Telegram Unlock и "Анти-глушитель". По аналогии с кейсами F6 такие приложения также распространялись через сайты в открытой сети.

Доменная активность и блокировки

По словам Александра Сапова, осенью наблюдался всплеск регистрации доменов, на которых размещали рекламу вредоносного ПО. В F6 уточнили масштаб: с начала октября было найдено более 30 доменов, и все они уже заблокированы. При этом специалисты признали, что ресурсы успевали попадать в выдачу.

"Все эти ресурсы индексировались в российских поисковых системах", — отмечается в ТАСС.

Этот фрагмент подчёркивает, что схема рассчитана не на "закрытые" каналы распространения, а на массовый трафик. Пользователь мог наткнуться на такие страницы через обычный поиск, не подозревая, что за обещанием "улучшенной версии" скрывается вредоносная загрузка. В итоге риск затрагивает прежде всего тех, кто ищет неофициальные сборки под Android.

Чем опасен троян на Android

Вместо приложений пользователи получают Android-троян, способный выполнять неправомерные действия "изнутри" системы. В F6 предупредили, что вредоносная программа может манипулировать сообщениями и звонками, собирать данные о контактах и установленном софте и выполнять другие операции. Дополнительная угроза — закрепление: отмечается, что такое ПО может запускаться автоматически при включении устройства.

Именно сочетание "маскировки" под привычные приложения и широкого распространения через веб-ресурсы делает схему устойчивой. Человек устанавливает файл добровольно, считая его полезной программой, а дальше троян получает стандартные для подобных случаев возможности. На практике это означает, что заражение может начаться с простого запроса "скачать версию 18+", а завершиться постоянным присутствием вредоносного компонента в системе.