РБК Компании
РБК Компании
Подписка на РБК
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
РБК Компании
Телеканал
РБК Вино
Спорт
РБК Образование
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Рынок наличной валюты
Экономика образования
Здоровье
Angara Security 6 августа 2025

В Сети распространяют вредоносное ПО под видом списков пропавших на СВО

В 43% каналов, посвященных поиску пропавших в зоне проведения специальной военной операции (СВО), активно распространяется вредоносное ПО через APK-файлы

По данным экспертов отдела защиты бренда Angara SOC, в 43% каналов, посвященных поиску пропавших в зоне проведения специальной военной операции (СВО), активно распространяется вредоносное ПО через APK-файлы.

Начиная с 2025 года в мессенджере Telegram все чаще стали появляться тематические группы с подобными названиями «Поиск пропавших на СВО», «Пропавшие без вести СВО», созданные якобы для поддержки родственников и волонтеров. Это дало возможность мошенникам внедрить новую схему обмана пользователей.

Преступники организуют каналы с аналогичными названиями, которые визуально похожи на официальные ресурсы помощи семьям военных или информативные сообщества. В группах регулярно публикуются новости о событиях на фронте и списки пропавших солдат в виде фотографий, PDF и Excel-документов с персональными данными военнослужащих.

Однако вскоре в тех же каналах появляются подозрительные APK-файлы с такими заголовками, как «Списки действующих бойцов», «Список участников СВО», «Список погибших», «Список пленных». Мошенники также размещают ссылки для загрузки этих файлов, утверждая, что внутри содержатся расширенные базы данных или специальное приложение для интерактивного поиска пропавших лиц. Сообщения часто сопровождаются фальшивыми положительными отзывами о работе такого «приложения».

Специалисты отдела реагирования и цифровой криминалистики Angara SOC обнаружили в таких APK-файлах банковский троян «Mamont», предназначенный для операционной системы Android. После установки этого приложения злоумышленник получает полный контроль над устройством жертвы и совершает следующие действия:

  • Собирает информацию об устройстве и отправляет ее на свой сервер;
  • Осуществляет перехват и отправку SMS-сообщений с зараженного устройства.
  • Совершает несанкционированные телефонные вызовы.
  • Извлекает истории звонков, контакты, список приложений, установленных на устройстве, историю SMS-сообщений.
  • Перехватывает Clipboard data — данные из буфера обмена.
  • Имеет доступ к пользовательским файлам.

Вся полученная информация в зашифрованном виде отправляется через Telegram-бот на сервер злоумышленников. Таким образом они могут получить доступ к банковским приложениям и мессенджерам пользователя, в результате чего могут пострадать еще и родственники жертвы.

Мы рекомендуем отключить автозагрузку файлов в Telegram и внимательно проверять формат файлов перед их скачиванием. Как правило, различного рода списки публикуют в форматах «.docx», «.xlsx» и «.pdf». Перед скачиванием файлов в данных форматах рекомендуем проверять их на специальных сервисах, например, на Virus Total. Также рекомендуем использовать на своем мобильном устройстве антивирусные приложения.

Не рекомендуем осуществлять поиск пропавших людей в тематических Telegram-группах, так как вы рискуете столкнуться с мошенниками. Для поиска пропавшего военнослужащего лучше обращаться в официальные организации, например, Государственный фонд «Защитники Отечества».

Присоединяйтесь к компаниям, которые уже делятся новостями бизнеса на РБК КомпанииУзнать больше