Сообщение от знакомого в мессенджере.
«Это ты на фото?»
Прикреплён файл. Называется «Фото_24шт». Выглядит как папка с картинками.
Нажимаете. Телефон просит разрешение стать основным приложением для SMS. Потом — доступ к контактам. Потом — к галерее.
Никакого фото нет. Есть троян. Он уже запустился — тихо, без предупреждений.
Теперь он читает ваши SMS. Видит коды из банка. Отправляет себя дальше — по всем вашим контактам.
А ваш знакомый, от которого пришло сообщение, ничего не знает. Его телефон уже несколько дней работает на мошенников.
Почему это работает
Фотография — самый безопасный тип файла в голове большинства людей. Документ — ещё подумаешь. Ссылка — насторожишься. А фото — просто фото.
На этом и построена схема.
Файл называется «Фото_24шт.apk». APK — это установочный пакет для Android. Не картинка, не архив. Программа. Но большинство людей не знают, что такое APK, и не смотрят на расширение.
МВД в 2024 году специально выпустило предупреждение: фотография не может иметь расширение APK. Если такой файл пришёл — это вирус.
Год спустя схема живее, чем раньше. Только упаковка стала разнообразнее.
Три способа спрятать вирус в «фото»
Первый — APK под видом архива. «Фото_24шт.apk» или «Семейные_снимки.apk». На экране смартфона выглядит как папка с картинками. Внутри — троян «Мамонт».
Второй — двойное расширение. Файл называется «foto.jpg.exe». В проводнике Windows расширения часто скрыты — вы видите просто «foto.jpg». Думаете, что открываете картинку. Запускаете программу.
Эксперты называют и другие варианты: «pozdravlenie.jpg.exe», «foto_9_maya.pdf.scr», «video.mp4.lnk». Логика одна — знакомое расширение впереди, вредоносное — в конце.
Третий — уязвимость самого мессенджера. В апреле 2025 года в WhatsApp для Windows обнаружена уязвимость CVE-2025-30401: файл выглядит как изображение, но при открытии запускается программа. Пользователь даже не видит настоящего расширения — его скрывает сам мессенджер.
Что делает троян после установки
«Мамонт» — самый распространённый сейчас троян в этой схеме. В марте 2025 года задержали семерых участников одной из групп, распространявших его. Волна не прекратилась.
После установки запрашивает доступ к SMS — становится основным приложением для сообщений. Это даёт доступ к кодам из банков.
Читает контакты. Рассылает себя дальше — от вашего имени, с вашего номера.
Передаёт данные об устройстве на серверы мошенников. Может открывать произвольные ссылки, удалять SMS, отправлять USSD-команды.
Всё это — в фоне. Никаких значков, никаких уведомлений. Вы пользуетесь телефоном как обычно — и не знаете, что он уже работает на кого-то ещё.
Почему антивирус не помогает
Троян меняется быстро. Новая версия — новые сигнатуры. Антивирус обновляется с задержкой.
Кроме того, мошенники научились прятать вредоносный код глубже. Файл выглядит чистым при сканировании. Вредоносная нагрузка догружается уже после установки — с внешнего сервера.
По данным Positive Technologies, в четвёртом квартале 2025 года число уникальных образцов вредоносного ПО выросло вдвое по сравнению с первым — с 268 до 584 за квартал. Антивирус не знает большинства из них.
Как не попасться
Первое. Файл пришёл с вопросом «это ты на фото?» — не открывайте. Никогда. Даже от знакомого. Особенно от знакомого — его телефон мог быть уже заражён.
Второе. APK-файлы устанавливайте только из официальных магазинов. Если приложение просит установить APK вручную — это красный флаг.
Третье. Включите отображение расширений файлов. В Android: Настройки → Биометрия и безопасность → Установка неизвестных приложений — отключите для всех. В Windows: Проводник → Вид → Показать → Расширения имён файлов.
Четвёртое. Если приложение после установки просит стать основным для SMS — немедленно откажите и удалите его.
Пятое. Проверьте телефон прямо сейчас. Зайдите в Настройки → Приложения. Найдите программы, которые вы не устанавливали. Незнакомое — удалите.
Получали такие сообщения с вопросом «это ты на фото»? Что делали? Напишите в комментариях — предупредите других.