YouTube 18+, TikTok Ultra и карты ДПС. Хакеры воруют деньги у россиян, которые ищут способы обойти блокировки

Россия троян мошенники YouTube TikTok банковские-карты F6
YouTube 18+, TikTok Ultra и карты ДПС. Хакеры воруют деньги у россиян, которые ищут способы обойти блокировки
Россия троян мошенники YouTube TikTok банковские-карты F6

Хотели посмотреть YouTube без тормозов, а посмотрели, как уходят деньги с карты.

image

Компания F6 зафиксировала новую схему распространения вредоносных Android-приложений для кражи банковских данных. Злоумышленники маскируют троян под расширенные и "18+" версии YouTube и TikTok, а также под навигаторы, онлайн-карты постов ДПС и приложения для оплаты штрафов. С начала октября 2025 года специалисты F6 обнаружили более 30 доменов, участвовавших в этой кампании, все они уже заблокированы, однако схема может быть продолжена на новых адресах.

Мошенники создают сеть сайтов, которые внешне имитируют страницы популярных видеосервисов YouTube и TikTok, доступ к которым в России ограничен. Пользователям предлагают "улучшенные" версии приложений с функциями просмотра видео без рекламы, доступом к заблокированному контенту, возможностью скачивать ролики в 4К для офлайн-просмотра и включать фоновый режим. Вместо перехода в официальный магазин им предлагают скачать APK-файл напрямую, после чего на устройство устанавливается троян.

Домены для распространения вредоносного ПО регистрировались в зонах .ru, .top, .pro, .fun, .life, .live, .icu, .com и .cc. В их названиях, помимо брендов сервисов, часто использовались слова вроде ultra, mega, boost, plus, max и другие, а сами ресурсы индексировались в российских поисковых системах. По данным F6, первые такие сайты появились летом 2025 года, а заметный рост их числа пришелся на осень, после начала учебного года.

Фейковые приложения распространяются под названиями TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced и "Ютуб-Плюс". После установки программа запрашивает расширенные разрешения и получает доступ к ключевым функциям устройства. Троян способен читать и отправлять SMS, совершать звонки, собирать данные о контактах и установленных приложениях, получать сетевую информацию, запускаться автоматически при включении смартфона и выводить свои элементы поверх других окон. В совокупности это позволяет злоумышленникам следить за действиями пользователя, незаметно передавать данные и выполнять операции от его имени, включая потенциальный доступ к финансовым сервисам.

В F6 связывают активизацию таких схем с ограничением доступа к YouTube и новым видео TikTok в России. На фоне множества "решений для обхода блокировок" пользователи чаще готовы устанавливать сторонние приложения, а этим пользуются киберпреступники, маскируя трояны под популярные сервисы и сервисы для навигации или оплаты штрафов.

Эксперты F6 рекомендуют не переходить по ссылкам от незнакомых контактов и загружать приложения только с официальных площадок, в том числе с сайтов магазинов приложений, и только если понятно, зачем именно нужно то или иное ПО. Отдельно подчеркивается необходимость контролировать выдаваемые разрешения по принципу "минимально необходимого": если, например, сервис для заказа еды запрашивает доступ к SMS или контактам, это повод насторожиться. В случае подозрения на компрометацию финансовых данных пользователям советуют как можно быстрее связаться с банком по горячей линии или через официальное приложение и заблокировать карты.