Не устанавливай ChatGPT, пока не прочтёшь это. Твои данные под угрозой
Преступники нашли лазейку в обычной человеческой бдительности.
Киберпреступники нашли новый способ обмана пользователей Android, замаскировав вредоносные приложения под инструменты с громкими именами: ChatGPT и Meta*. На первый взгляд рассылка выглядит как обычное приглашение протестировать новые функции, но за внешней легитимностью скрывается кража аккаунтов и доступ к рекламным кабинетам.
Атака строится вокруг сервиса Firebase App Distribution от Google. Злоумышленники рассылают письма с адреса firebase-noreply@google[.]com, который действительно используется для уведомлений платформы. В письмах предлагают ранний доступ к якобы новым возможностям — от инструментов на базе искусственного интеллекта до рекламных решений для Facebook*. Формулировки копируют стиль настоящих приглашений на бета-тестирование, что снижает подозрения.
Кнопка установки ведёт на страницу внутри инфраструктуры Google, где размещена тестовая сборка приложения. Описание выглядит правдоподобно: указаны версии, краткое описание изменений, бонусы вроде рекламных кредитов или автоматизации кампаний. Такой набор особенно привлекает администраторов страниц и маркетологов.
После установки приложение ведёт себя иначе, чем обещано. Вместо заявленных функций открывается экран входа в Facebook, встроенный через webview. Интерфейс почти полностью повторяет оригинальный, включая оформление и структуру, поэтому подмена остаётся незаметной.
Введённые данные — почта, номер телефона, пароль — отправляются на серверы злоумышленников. В отдельных случаях приложение запрашивает коды двухфакторной аутентификации и подтверждение бизнес-аккаунтов, что позволяет обойти защиту. Получив доступ, атакующие перехватывают профили, страницы и рекламные кабинеты, а затем используют их для мошеннических кампаний или дальнейшего распространения вредоносного ПО.
Нынешняя схема продолжает предыдущую волну атак на iOS, где поддельные версии ChatGPT и Gemini распространяли через App Store. Прослеживается общая тенденция: вместо простых фишинговых страниц преступники всё чаще используют легитимные каналы распространения и тестирования, чтобы повысить доверие и обойти фильтры безопасности.
Специалисты советуют с осторожностью относиться к любым неожиданным приглашениям на тестирование, даже если письмо выглядит как официальное уведомление Google. Установка приложений из сторонних источников по ссылкам из почты повышает риск компрометации. Для защиты корпоративных аккаунтов рекомендуют включать многофакторную аутентификацию и отслеживать подозрительную активность в рекламных кабинетах.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.