Как работает схема мошенничества «Это ты на фото?»
Мошенники используют социальную инженерию, рассылая в Telegram сообщение с провокационным вопросом: «Это ты на фотографиях?» (или вариантом «Это ты на видео?»)
К сообщению прикреплен файл с расширением .apk, замаскированный под архив изображений (например, назван «Архив фото (7).apk» или просто «Фото.apk»). Злоумышленник пытается убедить жертву, что внутри — фотографии, на которых она изображена, побуждая кликнуть из любопытства.Важно понимать, что .apk — это не формат изображения, а установочный файл приложения для Android. Министерство внутренних дел РФ отдельно предупреждало: «Фотография не может иметь расширение APK, в отличие от вредоносного ПО. Если получили такое сообщение, файлы ни в коем случае не скачивайте»
Формат APK (Android Package Kit) используется для установки приложений на Android-устройства.
Таким образом, прикрепленный «архив фото.apk» на деле является вредоносной программой, а не изображением.Схема атаки развивается следующим образом:
Жертве приходит сообщение от неизвестного (или даже от взломанного аккаунта знакомого) с текстом вроде «Привет, это ты на фото?»
Визуально файл выглядит как медиафайл, но имеет расширение .apk вместо .jpg или png
Пользователь, не обратив внимание на расширение, скачивает и открывает файл на своем Android-устройстве. В этот момент система предлагает установить приложение (потребуется разрешить установку из неизвестных источников, если не было включено ранее).
Если пользователь подтверждает установку, на телефон проникает троянское приложение (в СМИ такая вредоносная программа получила название «Mamont», один из актуальных Android-троянов 2024 года
Что делает вредоносный .apk после установки
Когда пользователь устанавливает присланный .apk, происходит инсталляция вируса
Такое приложение запрашивает опасные разрешения и скрытно получает контроль над частью вашего устройства. Вот что происходит после установки шаг за шагом: Запрос разрешений. При первом запуске вредоносное приложение может запросить доступ к SMS, к уведомлениям, к файлам и фотографиям, к контактам и другим данным. Например, троян Mamont известен тем, что получает доступ к чтению SMS-сообщений, push-уведомлений и даже фотографий из галереи.
Злоумышленники наделяют вирус всеми необходимыми правами для слежки за устройством.
Перехват кодов и сообщений. Получив доступ к SMS и уведомлениям, троян начинает мониторить входящие сообщения. Это означает, что любые коды подтверждения (например, одноразовые коды из SMS для входа в аккаунты) будут ему видны. В частности, когда атакующий попытается войти в ваш Telegram, код авторизации, присланный в SMS или в само приложение Telegram, будет перехвачен вирусом и передан мошенникам. Push-уведомления от приложений (включая уведомление Telegram с кодом входа) также могут быть считаны трояном.
В результате злоумышленники получают нужный код доступа без ведома пользователя.
Компрометация аккаунта Telegram. Имея код подтверждения, злоумышленники добавляют свой сеанс Telegram на вашем номере. Telegram позволяет одновременно работать с аккаунтом на нескольких устройствах, поэтому мошенники могут войти в аккаунт, не прерывая текущую сессию пользователя.
Пользователь может не сразу заметить взлом: злоумышленник часто тихо получает доступ, а присланные Telegram уведомления о новом входе могут быть тут же скрыты вирусом или самим злоумышленником. В некоторых случаях атакующие завершают все другие сеансы (ваш) и устанавливают облачный пароль (двухфакторную аутентификацию) для закрепления контроля над аккаунтом.
Кража других данных. Вредонос способен выйти за рамки одного Telegram. Он может считывать ваши контакты и переписки, чтобы расширять атаку. Например, зафиксированы случаи, когда вирус автоматически рассылает тот же APK-файл всем контактам жертвы в мессенджере от ее имени
– так мошенники получают новых жертв (ваши друзья получают сообщение уже от вашего аккаунта). Кроме того, вирус имеет доступ к личным файлам (фото, видео) и может выуживать из них конфиденциальные сведения. Самое опасное – троян может охотиться за данными банковских приложений: перехватывать SMS с банковскими кодами, push-уведомления от банков и т.п. Таким образом, после заражения злоумышленникам не составляет труда получить доступ к чувствительной информации, в том числе к данным для входа в онлайн-банкинг
Дополнительные вредоносные действия. Многие подобные трояны могут скрывать свой значок, работать в фоновом режиме и автоматически перезапускаться при перезагрузке телефона. Они могут использовать службы специальных возможностей Android, чтобы получать ещё более широкий контроль (например, самостоятельно нажимать кнопки или давать себе дополнительные разрешения). В итоге устройство оказывается под частичным контролем злоумышленников.
Итог: установка APK-файла из такого сообщения приводит к компрометации устройства. Мошенники получают ваши коды Telegram, входят в аккаунт, могут читать конфиденциальные переписки, рассылать от вашего имени сообщения и ссылки, а также добираются до других данных (финансовых и личных). Эта схема особо активна в 2024–2025 годах и уже принесла много жертв.
Ниже приводится руководство по ликвидации последствий и защите аккаунта.Если вы установили вирусный APK и доступ к Telegram ещё есть
Если вы обнаружили, что по ошибке установили подозрительный .apk (например, заметили странное приложение после клика по «фото»), действуйте немедленно, пока у вас еще есть доступ к своему аккаунту Telegram на каком-либо устройстве. Выполните следующие шаги:
Отключите интернет и удалите вредоносное приложение. Сразу переведите телефон в авиарежим или отключите Wi-Fi/мобильный интернет. Это помешает трояну отправлять ваши данные злоумышленникам, пока вы его удаляете. Затем зайдите в настройки телефона в раздел приложений и найдите недавно установленное неизвестное приложение (название может маскироваться под «Photo», «Images» или что-то похожее). Удалите это приложение. Если оно запросило права администратора и не удаляется обычным способом, зайдите в настройки безопасности (администраторы устройства) и отзовите у него права, после чего повторите удаление. Важно: не открывайте приложение перед удалением и не пытайтесь ему что-либо вводить.
Просканируйте устройство на вирусы. По возможности установите надежное мобильное антивирусное ПО и выполните полную проверку системы. Это поможет выявить, не остались ли скрытые компоненты вредоноса. Если антивирус обнаружит угрозы – удалите или обезвредьте их. Убедитесь, что Google Play Protect включен (в настройках Google) – это встроенная защита Android от вредоносных приложений.
Проверьте активные сессии Telegram. Откройте Telegram на своем устройстве (телефоне или компьютере) и зайдите в «Настройки > Устройства» (на мобильном клиенте) или «Настройки > Активные сеансы» (на десктопе). Посмотрите список устройств, с которых выполнен вход в ваш аккаунт. Завершите все чужие сеансы – Telegram позволяет одним нажатием завершить все сеансы, кроме текущего
Выберите опцию «Завершить другие сеансы», чтобы мгновенно выгнать злоумышленников из аккаунта. Альтернативно, вы можете вручную завершить конкретные сеансы, которых не узнаете, но надежнее отключить все сразу.
Смените пароли и настроить 2FA. После изгнания посторонних сеансов нужно предотвратить повторный взлом. Зайдите в Настройки > Конфиденциальность > Двухэтапная проверка (она же облачный пароль Telegram) и установите сложный пароль на аккаунт.
(если он уже был установлен, но вам он известен – смените на новый, а если был установлен злоумышленником и вам известен – тем более смените). Обязательно привяжите свой актуальный email для восстановления этого пароля. Теперь при попытке входа в Telegram на новом устройстве, помимо кода из SMS, потребуется ввести этот пароль – злоумышленники не смогут войти даже если опять получат код.
Проверьте настройки безопасности других сервисов. Так как вирус мог перехватывать SMS, убедитесь, что нет подозрительных операций с вашими банковскими счетами или другими привязанными сервисами. Зайдите в онлайн-банк (не с зараженного устройства, а с другого или через веб) и убедитесь, что все в порядке (при необходимости сообщите банку о возможной компрометации). Проверьте почту на предмет писем о новых входах или смене паролей. Смените пароли в важных приложениях (почта, социальные сети), если есть подозрение, что через Telegram или устройство мог произойти утечка (особенно если пароли могли храниться в сообщениях).
Дополнительные меры на устройстве. После удаления вируса и защиты Telegram, вы можете сбросить настройки телефона до заводских, если подозреваете глубинное заражение (только не забудьте заранее сохранить важные данные отдельно). Это радикальная мера, обычно достаточно удаления приложения и антивирусной проверки. Главное – следите некоторое время за поведением смартфона: не появляются ли странные окна, приложения, не расходуется ли трафик аномально. Если что-то настораживает – лучше сделать полный сброс и восстановить данные из резервной копии.
Уведомите контакты (по желанию). Поскольку злоумышленники какое-то время имели доступ к вашему Telegram, они могли отправлять сообщения вашим друзьям. Предупредите знакомых, что ваш аккаунт был скомпрометирован и что сомнительные сообщения с просьбами или ссылками от вашего имени – мошенничество. Это можно сделать через ваш же Telegram (если вы сохранили доступ) или через другие каналы связи.
Выполнив эти шаги, вы устраните вирус с устройства и вернете полный контроль над Telegram-аккаунтом. Не откладывайте эти действия: оперативность крайне важна, чтобы злоумышленники не успели нанести больше вреда.
Если доступ к Telegram-аккаунту уже потерян
Бывает, что пользователь установил APK, и злоумышленники очень быстро завладели аккаунтом – например, вы вышли из всех сеансов и не можете войти обратно. Если вы утратили доступ к своему Telegram (то есть на ваших устройствах сессия закрыта, или мошенники сменили настройки), выполните следующие шаги:
Попробуйте войти через SMS-код. Возьмите чистое устройство (смартфон или компьютер с официальным клиентом Telegram) и попытайтесь заново авторизоваться. Введите свой номер телефона и запросите код подтверждения в SMS
Ввод кода может вернуть вам доступ, если злоумышленники еще не успели установить облачный пароль (2FA) на аккаунт. Действовать нужно быстро: при попытке входа Telegram уведомит все активные сессии вашего аккаунта о запросе кода
Если мошенники все еще «сидят» в аккаунте, они увидят предупреждение и могут попытаться помешать (например, сразу же ввести неправильный код несколько раз, вызвав Flood Wait задержку). Поэтому запросив код, сразу введите его, как придет по SMS. Если вход успешен – немедленно завершите чужие сеансы (см. предыдущий раздел) и далее укрепите аккаунт (настройте 2FA, почту и пр.).
Если запрашивается облачный пароль, а вы его не знаете. Это значит, мошенники включили двухэтапную аутентификацию на вашем аккаунте. В поле ввода пароля нажмите опцию «Забыли пароль?». Telegram предложит отправить код восстановления на привязанный email. Вероятно, злоумышленники привязали свой email, к которому у вас нет доступа. В этом случае нажмите «Нет доступа к почте» и выберите «Сбросить аккаунт»
Внимание: сброс аккаунта означает его полное удаление (все чаты, данные и настройки будут стерты). По сути, вы очищаете старый аккаунт, чтобы зарегистрировать заново. Если для вас приемлемо потерять переписки ради возвращения контроля над номером – подтверждайте сброс. Telegram обычно делает паузу (до 7 дней) перед удалением аккаунта после запроса сброса, на случай если это действие было злоумышленником – но если вы сами запросили, то по истечении этого срока аккаунт удалят, и вы сможете заново зарегистрировать Telegram на свой номер.
Обратитесь в поддержку Telegram. Параллельно с попытками входа свяжитесь со службой поддержки. Если у вас есть хотя бы какое-то устройство с залогиненным Telegram (например, планшет или ПК, где сеанс еще не выброшен злоумышленником), зайдите в Настройки > Помощь > Задать вопрос. Это откроет чат с ботом Telegram Volunteer Support – напишите в чат, что ваш аккаунт взломан, вам нужен возврат доступа или хотя бы завершение всех сессий злоумышленника. В конце диалога выберите опцию, чтобы вас перенаправили к живому человеку
Учтите, ответы поддержки могут занимать время (волонтеры не отвечают мгновенно), а в критической ситуации время на стороне мошенников. Если доступа к приложению вообще нет, используйте официальную форму обратной связи на сайте Telegram. В форме опишите ситуацию (что вас взломали через вирус, доступ утерян), укажите номер телефона аккаунта и действующий email для связи.
Обычно поддержка может помочь, например, разлогинить все сессии при доказательстве, что вы владелец номера. В письме-ответе (или в чате) вам сообщат о действиях. Этот процесс может занять от нескольких часов до нескольких дней, поэтому продолжайте попытки восстановления самостоятельно параллельно.
Предупредите окружающих. Пока вопрос не решен, максимально снизьте ущерб. Сообщите друзьям и коллегам (любым доступным способом), что ваш Telegram с номером +7xxx временно не под вашим контролем. Попросите их игнорировать подозрительные сообщения, не переходить по ссылкам и не выполнять просьбы, которые могут поступить от вашего имени. Это важный шаг, чтобы мошенники не смогли обмануть других от вашего лица (часто взломанные аккаунты рассылают просьбы занять денег, перейти по ссылке, скачать файл и т.п.
Если удалось вернуть доступ – защитите аккаунт.
Предположим, один из способов сработал: вы снова вошли в Telegram. Сразу выполните рекомендации из предыдущего раздела: удалите вирус из телефона, выйдите из посторонних сеансов, включите двухэтапную аутентификацию, смените все пароли. Убедитесь, что злоумышленник не остался где-то в списке устройств.
Если вернуть аккаунт не удалось. Такое бывает, если мошенники успели перевязать ваш номер на другой (через функцию смены номера) или вы не смогли пройти проверку из-за установленных ими препятствий. В таком случае, к сожалению, прямого пути восстановить старый аккаунт нет. Служба поддержки Telegram, как правило, не восстанавливает утерянные переписки и не переносит аккаунт обратно на номер без доступа. Остается дождаться автоматического удаления учетной записи (по умолчанию Telegram удаляет неактивные аккаунты через 6 месяцев, если злоумышленник не пользуется вашим аккаунтом активно). Либо, как описано выше, инициировать сброс аккаунта через функцию «Забыли пароль?» с удалением — если это возможно. После этого вы сможете создать новый аккаунт на тот же номер телефона (как только старый отвязан). Важно: создавая новый аккаунт, убедитесь, что сразу включили облачный пароль и соблюдаете все меры безопасности, чтобы ситуация не повторилась.
Профилактика: как защититься от подобных атак
Чтобы не стать жертвой подобных вирусных APK в будущем, следует соблюдать ряд правил кибербезопасности:
Не устанавливайте приложения из недостоверных источников. Никогда не загружайте .apk файлы, присланные в чатах или по почте, особенно от незнакомых людей. Изображения и видео никогда не присылаются в формате .apk
Если вам пришел файл с фотографиями, но расширение .apk – это гарантированно вирус. Установите запрет на установку из неизвестных источников (в современных версиях Android этот запрет включен по умолчанию и запрашивается для каждого отдельного приложения).
Бдите за расширениями файлов и именами. На смартфоне перед открытием файла нажмите на вложение и посмотрите информацию о нем. Если файл называется странно (например, имеет суффикс .apk или двойное расширение .jpg.apk), ни в коем случае не запускайте его. Мошенники могут пытаться замаскировать иконку и название, но расширение выдает истинную природу файла.
Настройте приватность в Telegram. В самом Telegram можно снизить риск получения подобных сообщений. Зайдите в Настройки > Приватность > Кто может писать мне сообщения и установите «Мои контакты». Тогда неизвестные не смогут напрямую отправлять вам сообщения
Однако помните, что злоумышленники могут взломать и аккаунт вашего знакомого, поэтому даже сообщение от друга с неожиданной просьбой или файлом стоит перепроверить (лучше созвониться или уточнить вне Telegram).
Включите двухфакторную защиту Telegram. Обязательно используйте облачный пароль Telegram (двухэтапная аутентификация) для своего аккаунта
Установите сложный уникальный пароль и привяжите резервный email. Это защитит аккаунт даже если кто-то узнает ваш SMS-код. Без ввода пароля злоумышленник не войдет, а при попытке подбора ваш аккаунт будет временно блокироваться.
Будьте бдительны к социальным уловкам. Помните, что фразы вроде «Это действительно ты на фото/видео?», «Срочно посмотри, тут ты отмечен» – распространенный прием мошенников. Не поддавайтесь панике или любопытству. Если даже кажется, что сообщение от знакомого, но текст странный – остановитесь. Перезвоните этому знакомому или напишите в другом мессенджере: скорее всего, он ничего не отправлял.
Обновляйте систему и приложения. Держите Android и все приложения обновленными до актуальных версий. Обновления часто закрывают уязвимости, которыми могут пользоваться вирусы. Включите Google Play Protect – он будет периодически сканировать устройство на наличие известных угроз.
Используйте антивирус на мобильном устройстве. Надежное защитное решение сможет распознать и заблокировать попытку установки известного трояна. Многие современные антивирусы для Android проверяют устанавливаемые APK и предупреждают, если файл опасен.
Не переходите по подозрительным ссылкам. Помимо файлов, аккаунты могут угнать и через фишинговые сайты. Будьте осторожны, если вам присылают ссылку, даже похожую на настоящий адрес (в Telegram были случаи рассылки ссылок вида tме[.]пи/******* под видом официальных). Всегда проверяйте, куда ведет URL, и не вводите свои данные на непроверенных сайтах.
Регулярно проверяйте активные устройства. Время от времени просматривайте список активных сессий Telegram. Это можно делать в настройках. Если замечаете неизвестное устройство или странное местоположение – немедленно завершите тот сеанс. Такая бдительность поможет вовремя заметить взлом, если он произойдет.
Настройте автоудаление аккаунта при неактивности. В Telegram есть опция удаления аккаунта после определенного периода неактивности. Установите минимальный разумный срок (например, 6 месяцев). Тогда, если вы потеряете доступ и не сможете ничего сделать, аккаунт хотя бы удалится сам, и злоумышленники потеряют к нему доступ со временем
Учтите, что это крайняя мера и надеяться только на нее не стоит, лучше не допустить взлома вовсе.
Следуя этим рекомендациям, вы существенно снизите риск стать жертвой мошеннической схемы. Помните: в 2025 году такие вирусные рассылки в Telegram по-прежнему актуальны и распространены
Мошенники будут пытаться обмануть пользователей новыми уловками, но основы безопасности остаются неизменны. Не устанавливайте сомнительные файлы, держите аккаунты под защитой, и тогда ваши данные и переписки останутся в безопасности.
Информация собрана из открытых источников