На фоне ограниченного доступа к зарубежным видеосервисам в России участились случаи распространения вредоносного ПО под видом «расширенных» версий популярных платформ. По данным исследования компании F6, мошенники активно распространяют фальшивые APK‑файлы, маскируя их под TikTok 18+, YouTube Max, YouTube Ultra и другие якобы «взрослые» или «безрекламные» сборки.
Злоумышленники создают сайты в доменных зонах .ru, .top, .pro, .com и аналогичных, которые индексируются российскими поисковыми системами. Пользователю предлагается загрузить приложение, якобы предоставляющее доступ к запрещённому или скрытому контенту, возможность воспроизведения в фоновом режиме или отсутствие рекламы. Вместо этого на смартфон устанавливается троян.
По информации экспертов, вредонос получает расширенные права доступа: он может читать SMS, просматривать контакты, фиксировать звонки, запускаться при включении устройства и отображать свои окна поверх любых других программ. Всё это делает его крайне опасным с точки зрения кражи персональных и платёжных данных.
Александр Сапов, представитель департамента цифровых рисков F6, рассказал, что основная волна активности началась осенью 2025 года — сразу после начала нового учебного сезона. С начала октября специалисты выявили и заблокировали более 30 доменов, использовавшихся для распространения фейковых приложений. При этом угрозу устранить полностью пока не удалось: новые сайты появляются практически мгновенно после блокировки старых.
По словам эксперта, злоумышленники адаптируют схему под различные интересы пользователей. Помимо поддельных видеосервисов, вредоносное ПО распространяется под видом навигационных приложений, «карт постов ДПС», сервисов оплаты штрафов и даже программ для отслеживания маршрутов общественного транспорта. После установки троян даёт хакерам возможность управлять устройством, совершать транзакции, перехватывать уведомления и вести скрытое наблюдение.