Россияне столкнулись с новой волной распространения поддельных мессенджеров: киберпреступники изменили тактику и вместо предложений скачать «альтернативные сборки Telegram» начали продвигать якобы «безопасные ресурсы нового поколения». По данным специалистов, за последние три месяца мошенники зарегистрировали более 13 тыс. доменов для продвижения таких сервисов, а количество подобных инцидентов выросло на 20%. Под видом защищенных и децентрализованных платформ злоумышленники распространяют вредоносное программное обеспечение, средства удаленного доступа и программы для кражи пользовательских данных.
Волна фейковых мессенджеров
Количество случаев, когда пользователи становились жертвами мошеннической схемы с поддельными мессенджерами, за первые четыре месяца года выросло на 20% по сравнению с аналогичным периодом 2025-го, сообщили в компании «Интернет-Розыск». Злоумышленники предлагают скачать фейковые приложения, выдавая их за «защищенные мессенджеры нового поколения». После установки зараженного ПО мошенники получают доступ к персональным данным пользователей и могут похищать деньги, если к устройству привязаны банковские сервисы и платежные аккаунты. Кроме того, за год в даркнете появилось более 200 новых объявлений о продаже подобных вредоносных сборок.
Ограниченный доступ к привычным сервисам и недоверие части пользователей к новым отечественным платформам повысили интерес к децентрализованным средствам связи. В России стали активнее скачивать мессенджеры, работающие без центрального сервера или единой управляющей компании, рассказал руководитель Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК «Кросс технолоджис») Сергей Трухачев. По его словам, в таких сервисах сообщения передаются напрямую между пользователями либо через сеть независимых узлов. Это обеспечивает более высокий уровень анонимности, устойчивость к блокировкам и дополнительную защиту данных.
Эксперт отметил, что если раньше подобные решения были востребованы преимущественно среди пользователей, уделяющих особое внимание конфиденциальности переписки, то теперь интерес к ним стал массовым. Этим активно пользуются мошенники.
— При этом схема обмана строится не вокруг вымышленных приложений, а вокруг реально существующих решений. Это значительно повышает доверие пользователей к фишинговым ресурсам, — подчеркнул Сергей Трухачев.
Он добавил, что вместе с установкой якобы защищенного мессенджера пользователь может получить шифровальщики, кейлоггеры (программы, которые записывают все нажатия на клавиатуре, а затем передают эти сведения мошенникам) и другое вредоносное ПО, способное годами незаметно собирать данные с устройства.
По данным эксперта, только за апрель злоумышленники зарегистрировали более 4,7 тыс. доменов, связанных с якобы защищенными и децентрализованными мессенджерами. За последние три месяца число таких ресурсов достигло примерно 13,6 тыс. В среднем мошенники создают более 150 подобных сайтов ежедневно.
Устойчивый рост числа подобных атак наблюдается примерно с середины прошлого года, отметил председатель координационного совета негосударственной сферы безопасности РФ, основатель и владелец компании «Интернет-Розыск» Игорь Бедеров.
— Если раньше мошенники продвигали «чистый Telegram без цензуры», то теперь ребрендинг на «анонимный мессенджер» работает как магнит, — пояснил он.
По его словам, злоумышленники продвигают такие приложения через Telegram-каналы, поисковую выдачу и рекламу в соцсетях. Внутри установочных файлов для Android могут находиться трояны, скрытые майнеры и уязвимости.
— Самое неприятное в том, что человек добровольно дает приложению доступ ко всему на телефоне, полагая, что скачивает «эталон безопасности», — отметил Игорь Бедеров.
По его данным, около 40% подобных фейковых приложений содержат модули удаленного управления, превращающие смартфон пользователя в узел ботнета для DDoS-атак или рассылки спама.
— Мошенники активно используют тему «безопасной связи» как приманку для пользователей. Сейчас акцент сместился на якобы новые защищенные мессенджеры, которые обещают анонимность, устойчивость к блокировкам и конфиденциальность переписки, — добавил директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.
По данным компании, в 62% случаев вредоносное ПО распространяется через APK-файлы для Android, замаскированные под патчи или программы-оптимизаторы. Еще 46% атак осуществляется через мессенджеры в обход официальных каналов распространения приложений. Кроме того, в 2026 году доля инцидентов, связанных с модификацией или клонированием мобильных приложений, достигла 63%.
Развитие технологий искусственного интеллекта значительно упростило создание вредоносных версий популярных приложений, отметил руководитель разработки PT MAZE, представитель компании Positive Technologies Николай Анисеня. По его словам, если раньше такие атаки требовали сложного реверс-инжиниринга и высокой технической квалификации, то теперь создавать опасные модификации способны даже злоумышленники без серьезной подготовки.
Эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Калинин добавил, что мессенджеры уже давно остаются одним из ключевых векторов атак на мобильные устройства. По его словам, злоумышленники используют как полностью фальшивые приложения без реальной функциональности, так и троянизированные версии настоящих сервисов. Под видом этих ресурсов распространялись банковский троянец Mamont, криптостилер SparkCat и другие вредоносные программы.
Почему бизнесу придется усилить кибербезопасность
Проблема вредоносных модифицированных приложений началась задолго до нынешнего всплеска интереса к защищенным мессенджерам, уточнил генеральный директор ИБ-компаний 3side и 4sec Антон Бочкарев.
По его словам, первой крупной волной стали модификации TikTok после ограничения доступа к новому контенту для российских пользователей. Затем аналогичные схемы начали использоваться с Telegram и другими популярными сервисами. Причем жертвами становятся как обычные пользователи, так и корпоративные сотрудники, не соблюдающие базовые требования информационной безопасности на предприятии.
— Любое приложение, которое становится недоступным из-за блокировок или ограничений, быстро превращается в приманку для злоумышленников, — пояснил эксперт.
Он подчеркнул, что установка поддельных мессенджеров и приложений несет риски перехвата СМС-кодов, обхода двухфакторной аутентификации, кражи переписки, контактов и корпоративной информации. Особенно высокие риски возникают для сотрудников компаний, использующих рабочие устройства для установки неофициального ПО.
Российский бизнес пока только формирует полноценную культуру кибербезопасности, считает эксперт направления Kaspersky Security Awareness «Лаборатории Касперского» Марианна Нечетова.
По ее словам, постоянное взаимодействие между HR- и ИБ-подразделениями выстроено лишь в 11% компаний, а в 19% организаций вообще отсутствует формально закрепленный специалист, отвечающий за повышение осведомленности сотрудников в сфере кибербезопасности.
— Важно перейти от разовых мер и не просто регулярно обучать персонал, но и донести до сотрудников и руководителей ценность обучения кибергигиене, — подчеркнула она.
Директор по информационным технологиям и кибербезопасности hh.ru Татьяна Фомина считает, что развитие культуры информбезопасности становится одним из ключевых факторов устойчивости бизнеса.
— Когда человек понимает, зачем нужна регулярная смена пароля или использование второго фактора безопасности, правила перестают восприниматься как формальность и становятся частью корпоративной культуры, — отметила эксперт.
Опрошенные эксперты считают, что мошенники быстро адаптируются к изменениям информационной повестки. По их мнению, интерес пользователей к децентрализованным мессенджерам в ближайшее время сохранится.