Хакеры могут атаковать смартфоны пользователей при помощи скрытых вирусов, предупредили эксперты. Такое вредоносное программное обеспечение в фоновом режиме способно выполнять самые разные задачи для злоумышленников. Причем сами владельцы гаджетов об этой опасной активности зачастую даже не подозревают. Подробности о том, как хакеры атакуют смартфоны при помощи скрытых вирусов, чем опасны подобные приемы и как защититься от них, читайте в материале «Известий».
Что известно о новой атаке со скрытыми вирусами
В конце минувшего февраля специалисты исследовательской компании IAS Threat Lab заявили об обнаружении новой скоординированной атаки Genisys, в ходе которой более 25 млн мобильных устройств были превращены в инструмент для генерации поддельного рекламного трафика без ведома пользователей.
В рамках атаки злоумышленники встраивали вредоносное программное обеспечение (ВПО) в приложения, которые на первый взгляд казались легитимными, — утилиты для очистки памяти, офисные инструменты, ридеры и фонарики. После установки эти программы в фоновом режиме начинали открывать сотни сайтов в скрытых окнах, имитируя активность реальных пользователей.
При этом киберпреступники применили технику подмены идентификаторов приложений. Системы мониторинга фиксировали трафик, якобы исходящий от тысяч различных популярных программ, хотя реальным источником оставалась ограниченная группа зараженных утилит. Такой подход позволял создавать шум и затруднял выявление бэкдоров.
После вмешательства и блокировки мошеннических приложений объем подозрительных запросов снизился более чем на 95%, что подтвердило централизованный характер управления сетью. Как отметили специалисты по кибербезопасности, атака Genisys уже стала символом перехода рекламного мошенничества на новый технологический уровень.
Как хакеры заражают смартфоны скрытыми вирусами
Ключевое отличие современного мобильного ВПО для рекламного мошенничества — незаметность для пользователя и легитимный внешний вид, говорит в беседе с «Известиями» ведущий эксперт по сетевым угрозам и web-разработчик компании «Код Безопасности» Константин Горбунов. Вирус больше не выдает себя агрессивной рекламой на экране — напротив, он выглядит как полезная утилита.
— Пока пользователь видит привычный интерфейс, вредоносный модуль в фоновом режиме выполняет задачи злоумышленников — генерирует фальшивые рекламные клики и имитирует сетевую активность, — рассказывает специалист. — Цель таких программ — не компрометация данных, а монетизация ресурсов устройства: CPU, батареи и рекламного трафика.
Подобные вирусы распространяются несколькими изощренными путями, начиная от заводского уровня и заканчивая повседневными приложениями, отмечает руководитель группы ИБ-инженеров «Лиги Цифровой Экономики» Илья Павлюк. При этом один из самых опасных вариантов — предустановка вирусов на этапе производства или «серого» импорта. Например, в России «Лаборатория Касперского» выявила такие вирусы, как Keenadu и Triada, в новых Android-устройствах еще до покупки: они уже находилась в системных разделах, показывали рекламу и крали данные в 13 тыс. случаев.
Другой распространенный канал — сторонние APK-файлы из фишинговых ссылок в WhatsApp (принадлежат компании Meta, которая признана экстремистской организацией в РФ), SMS или Telegram, где пользователи скачивают «кряки» (вредоносные программы для взлома защиты ПО), VPN или игры, маскирующие трояны вроде Sturnus, который читает зашифрованные чаты, рассказывает Илья Павлюк.
— Даже Google Play не застрахован: 60 тыс. adware-приложений под видом утилит и игр распространяли трафик незаметно, а Genisys пряталась в популярных программах и устанавливала фоновые сервисы без ведома владельца, — предупреждает специалист.
При этом, по словам руководителя департамента киберразведки компании «Бастион» Константина Ларина, «поймать» на свой смартфон скрытый вирус можно даже при простом подключении к подозрительным USB-накопителям в общественных местах.
Как киберпреступники применяли скрытые вирусы ранее
Злоумышленники пускают в ход скрытые вирусы не первый год — атака Genisys стала самой свежей, но далеко не единственной в своем роде. Одним из наиболее опасных кейсов за последнее время является вредоносное программное обеспечение Triada, предустановленное прямо в прошивке поддельных Android-смартфонов известных брендов, продаваемых на маркетплейсах, рассказывает руководитель группы анализа ВПО центра исследования киберугроз Solar 4RAYS (ГК «Солар») Станислав Пыжов.
— ВПО встроено в системный раздел и практически не удаляется, после запуска контролирует большинство популярных приложений, может перехватывать SMS, красть криптовалюту и аккаунты в мессенджерах и соцсетях, а также выполнять другие скрытые операции, что делает такие устройства серьезной угрозой для безопасности пользователей, — говорит собеседник «Известий».
В 2025 году вирус Sturnus стал «хитом» среди банковских троянов: он проникал через мессенджер WhatsApp и захватывал чаты в Telegram и Signal с помощью удаленного доступа к экрану, напоминает Илья Павлюк. Кроме того, в 2021–2025 годах действовал вирус LianSpy, который маскировался под банковские приложения и крал записи экрана, а также контакты российских пользователей.
Основной риск, который несут в себе скрытые вирусы, — это «выгорание» и преждевременное старение устройства пользователя, отмечает ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко. Иначе говоря, зараженный телефон в буквальном смысле перерабатывает на теневой работе злоумышленника, пока его владелец спит. В итоге жертва собственными мощностями и финансами оплачивает деятельность киберпреступников.
— Также серьезным риском является подготовка почвы для полноценного взлома: приложение, которое уже наладило связь с сервером злоумышленников, становится «открытой дверью», через которую хакеры могут в любой момент незаметно загрузить более опасные инструменты для слежки и кражи данных, — дополняет Константин Горбунов.
Как распознать скрытый вирус на зараженном смартфоне
Распознать тайного «цифрового шпиона» на зараженном устройстве зачастую бывает не так просто, однако это все-таки возможно сделать, если обращать внимание на явные аномалии в работе гаджета, указывает Максим Федосенко. Например, смартфон может начать беспричинно нагреваться в состоянии покоя, батарея — стремительно садиться, а статистика работы приложений и сети внезапно станет показывать огромный расход интернет-трафика, причем зачастую от легитимных приложений.
— Суть последнего заключается в том, что виновником может оказаться не только сомнительный APK-файл вредоноса, скачанный со стороннего ресурса, но и популярное приложение из официального магазина, которое внезапно подгрузило вредоносный код через свои уязвимости и начало мимикрировать под легитимный процесс, — объясняет собеседник «Известий».
Если телефон неожиданно стал жить своей жизнью, причем слабо коррелируемой с повседневной активностью его владельца, необходимо выполнить ряд конкретных шагов. Первым делом нужно зайти в настройки и выяснить, какие именно приложения потребляют слишком много энергии или интернет-трафика без видимой причины, рекомендует Константин Горбунов.
— Обязательно обратите внимание на разрешения: если обычный «фонарик» или другая простая утилита запрашивает доступ к уведомлениям, камере, контактам или другим специальным возможностям, это серьезный повод для подозрений, — предупреждает он.
Расход большого количества заряда приложением в фоновом режиме — это повод задуматься о качестве такого софта или удалить его с телефона, подчеркивает старший специалист отдела экспертизы PT Sandbox Алексей Колесников.
— Система сама подчистит оставшиеся артефакты, а для дополнительной надежности можно перезагрузить устройство, — советует собеседник «Известий».
Критически важно использовать надежные защитные решения, которые помогут обнаружить ВПО на устройстве, призывает эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Калинин.
Дмитрий Булгаков
Фото: ИЗВЕСТИЯ/Юлия Майорова
