Опасное вредоносное Android-ПО маскируется под TikTok и Minecraft и тайно списывает деньги с пользователей

Исследователи из Zimperium сообщили, что в схеме использовалось почти 250 поддельных приложений. Среди них были копии TikTok, Minecraft, Grand Theft Auto, Instagram Threads и Facebook Messenger. После установки такие программы подключали жертв к премиальным сервисам без их согласия.

Кампания отличалась высокой степенью автоматизации и использовала сразу несколько методов для сокрытия активности. Вредоносное ПО применяло JavaScript-инъекции, перехватывало одноразовые пароли и запускало скрытые WebView-страницы, чтобы оформлять подписки через биллинговые системы мобильных операторов.

Программы анализировали SIM-карту устройства и активировались только для пользователей определенных операторов. Основными целями стали жители Малайзии, Таиланда, Румынии и Хорватии.

По данным Zimperium, впервые кампанию зафиксировали в марте 2025 года, а активность злоумышленников отслеживалась как минимум до января 2026-го. При этом часть инфраструктуры мошенников все еще продолжает работать.

Google утверждает, что зараженные приложения не распространялись через Google Play. В компании также заявили, что Android-устройства с сервисами Google Play автоматически защищены от известных версий вредоносного ПО благодаря Play Protect.

Тем не менее специалисты считают, что ситуация указывает на серьезные проблемы безопасности мобильных маркетплейсов и экосистемы Android в целом.

Хакеры использовали сразу три варианта вредоносных программ, каждая из которых была нацелена на определенные сценарии мошенничества.

Особенно опасным оказался наиболее продвинутый вариант вредоносного ПО. После установки приложение проверяло SIM-карту и запускало атаку только при совпадении с заранее заданными операторами. Например, среди целей был малазийский DiGi.

Чтобы не вызывать