Telegram давно превратился из просто мессенджера в полноценную экосистему — с ботами, файлами, внешними ссылками и тысячами активных сообществ. Всё это делает его удобной средой не только для общения, но и для злоумышленников.
Мошеннические схемы как с использованием ВПО, так и без него становятся всё более изощрёнными, злоумышленники активно пользуются всеми возможностями мессенджера, включая последние обновления. Все эти схемы разбираются и фиксируются нашими специалистами. Наиболее частые векторы — заражённые APK-файлы, ссылки на фишинговые формы и скомпрометированные боты, выдающие себя за технические сервисы.
Классический фишинг в мессенджере
Мошеннический контент распространяется в Telegram с помощью личных сообщений и различного рода Telegram-ботов, чатов и каналов. Мы рассмотрели наиболее популярные схемы, часто используемые мошенниками в последние месяцы.
Фейковые подарки
Злоумышленники предлагают якобы бесплатную подписку на Telegram Premium, чтобы выманить у пользователя учётные данные и получить доступ к его аккаунту.
Пользователя просят ввести номер телефона, привязанный к Telegram. Далее вместо привычного входа через приложение жертва получает настоящий SMS-код от Telegram (или push-уведомление в Telegram Web) и вводит его на фишинговом сайте, думая, что подтверждает участие в акции.
QR-коды
Злоумышленники применяют разные уловки с помощью QR-кодов — от скрытых платежей до фишинга.
Основные векторы применения QR-кодов:
Кликджекинг
Мошенники размещают вредоносные QR-коды в людных местах, например, на туристических объектах, маскируя их под полезные ссылки.Подмена кодов для сбора предоплат
При оплате услуг через QR-код (аренда самокатов, парковка) мошенники заменяют оригинальные коды своими. В результате деньги уходят не компании, а преступникам, а пользователь остаётся без услуги.Фишинг: кража данных через фальшивые страницы
QR-коды с фишинговыми ссылками маскируют под легальные — их вклеивают в меню, размещают на афишах или даже продают.
При сканировании человек попадает на поддельный сайт, например, банка или Госуслуг, где его просят ввести логин, пароль или платёжные данные
Кроме того, злоумышленники используют интерес и доверие жильцов к локальным сообществам, размещая в подъездах жилых домов объявления с QR-кодами для вступления в «домовые чаты».
При переходе по такому QR-коду жертву встречает фишинговый сайт, мимикрирующий под web-версию Telegram, в которой пользователю предлагается ввести свои данные.
В другом варианте схемы пользователи попадают в телеграм-чат с бурной перепиской и множеством «полезных» ссылок. Основная цель — получить контроль над учётными записями для дальнейшего распространения мошеннических схем.
Telegram-боты
Боты в мессенджере выполняют несколько задач:
Приманка (кликбейт): для участия в розыгрыше, получении денег, дополнительного дохода, проверки аккаунта и так далее;
Сбор данных: бот запрашивает разрешение на доступ к Telegram ID, просит отправить номер телефона и код из SMS для верификации;
Мошеннические цели: подмена личности, получение платёжной информации, использование аккаунта для спама и других схем.
Один из подобных ботов встретился нам в ходе исследования. Мошенники просят пользователя перейти в бота-помощника онлайн-школы.
Представляем полный текст сообщения ниже:
Имена куратора и бота обычно совпадают, чтобы создать видимость естественной ситуации, но часто мошенники даже не заморачиваются, а просто пытаются найти невнимательную жертву. В данном случае фамилии в профиле мошенника и бота различаются.
Используемое вредоносное ПО
Mamont
Троян Mamont в Telegram активно используется киберпреступниками по сей день. Так, очередные попытки его применения мы зафиксировали в феврале 2025 года. Злоумышленники рассылают вредоносные файлы в формате .apk через мессенджеры, маскируя их под фото-/видеофайлы и сопровождая сообщением «Это ты на фото/видео?».
При попытке просмотра фотографии с расширением .apk происходит установка приложения на мобильное устройство, после чего у пользователя запрашиваются разрешения на доступ к сети, чтение, перехват, отправку SMS-сообщений и прочих уведомлений, а также доступ к контактам и истории телефонных вызовов.
ВПО также загружает дополнительные модули по протоколам HTTP\HTTPS и поддерживает соединение с C2-сервером через WebSocket.
Источник
В таблице MITRE ATT&CK для Android работа ВПО описана следующим образом:
ID |
Техника |
Пояснение |
T1660 |
Фишинг |
Передаётся через Telegram под видом фото/видео |
T1658 |
Эксплуатация клиентского ПО |
Пользователь открывает «фото», инициализируя установку ВПО |
T1626.001 |
Обход механизма контроля привилегий правами администратора |
Запрашивает права администратора устройства, чтобы предотвратить удаление |
T1406 |
Обфусцированные файлы или данные |
Использует ProGuard, XOR-шифрование строк |
T1417 |
Перехват вводимых данных |
Накладывает поддельные окна ввода на легитимные банковские приложения |
T1517 |
Доступ к уведомлениям |
Перехватывает SMS через NotificationListenerService |
T1437.001 |
Протокол прикладного уровня, Веб-протокол |
Отправляет данные через зашифрованные домены по HTTPS |
T1646 |
Эксфильтрация по каналу управления |
Экспортирует украденные логины, пароли, SMS на C2 |
Ozon Tracker
Злоумышленник под видом поиска сотрудника в магазин, реализующий свои товары на маркетплейсе, отправляет потенциальной жертве внешнее приложение в формате .apk и креды от него. Данное приложение является ВПО DeliveryRAT.
ВПО маскируется под множество приложений торговых площадок — Ozon, Avito, CDEK, Youla, Wildberries. Во время установки запрашивает разрешения на устройстве жертвы:
номер мобильного телефона;
название оператора сотовой сети;
чтение и отправка SMS-сообщений;
перехват и сокрытие push-уведомлений других приложений;
доступ к содержимому буфера обмена и установленных приложений;
доступ к информации об операционной системе.
В таблице MITRE ATT&CK для Android работа ВПО описана следующим образом:
ID |
Техника |
Пояснение |
T1660 |
Фишинг |
ВПО распространяется через мессенджеры под предлогом оформления заказа или трудоустройства |
T1626.001 |
Обход механизма контроля привилегий правами администратора |
ВПО запрашивает и использует опасные разрешения Android, такие как доступ к уведомлениям или к службам специальных возможностей |
T1636.004 |
Сбор SMS-сообщений |
DeliveryRAT запрашивает доступ к SMS с целью перехвата сообщений |
T1636.003 |
Сбор контактов из адресной книги |
DeliveryRAT собирает историю звонков |
T1417 |
Перехват вводимых данных |
ВПО перехватывает ввод с клавиатуры |
T1437.001 |
Протокол прикладного уровня, Веб-протокол |
Передача украденных данных (SMS, контакты, ключи) на сервер злоумышленников, получение команд (привязка карты, оформление заказа) по HTTPS |
Приглашение на свадьбу
Злоумышленники активно рассылают фальшивые приглашения на свадьбу через личные и групповые чаты в популярных мессенджерах. Пользователей просят установить специальный APK-файл, якобы необходимый для просмотра приглашения. На самом деле в этом файле скрыт опасный стилер Tria (стилер — тип вредоносного ПО, которое используется для кражи информации, например, логинов и паролей). Он похищает данные с устройства жертвы: контакты, сообщения, фотографии и финансовую информацию. Более того, после заражения смартфона вирус автоматически распространяется, отправляя аналогичные приглашения от имени пострадавшего всем его контактам.
Украденные данные отправляются на сервер C2 через различные Telegram-боты для последующей компрометации аккаунта жертвы в мессенджере.
Далее существует два сценария развития:
Злоумышленники от лица жертвы просят деньги среди контактов в мессенджере;
Однако возможен и более неприятный сценарий: злоумышленники могут получить доступ к банковским счетам жертвы, запросив и перехватив OTP-коды, необходимые для входа в систему.
Схема работы ВПО описана в матрице MITRE ATT&CK для Android. По ID можно найти дополнительную информацию о техниках.
ID |
Техника |
Пояснение |
T1660 |
Фишинг |
«Приглашения на свадьбу» рассылаются через мессенджеры |
T1623.001 |
Интерпретаторы командной строки и сценариев (Unix) |
ВПО запускает команды для сбора информации о системе |
T1398 |
Сценарии инициализации при загрузке или входе в систему |
Tria активируется после перезагрузки устройства |
T1626.001 |
Обход механизма контроля привилегий правами администратора |
ВПО запрашивает права для мониторинга действий пользователя |
T1636.004 |
Сбор SMS-сообщений |
Tria извлекает SMS из базы данных Mmssms.db |
T1636.003 |
Сбор контактов из адресной книги |
Сбор списка контактов |
T1437.001 |
Протокол прикладного уровня. Веб протокол |
Отправка данных по HTTPS |
T1646 |
Эксфильтрация по каналу управления |
Экспорт украденных данных на C2-сервер |
FireScam
FireScam маскируется под приложение Telegram Premium на фейковой странице RuStore. Страница загружает на устройство дроппер GetAppsRu.apk (дроппер — троянская программа для скрытой установки ВПО), невидимый для средств защиты Android.
Приложение получает множество разрешений, позволяющих реализовать сканирование установленных приложений, доступ к хранилищу гаджета или разрешение на загрузку дополнительных пакетов.
Далее грузится Telegram_Premium.apk, запрашивающий ещё больше разрешений. При первом запуске открывается страница авторизации Telegram. Данные, вводимые в окне авторизации, похищаются в первую очередь, отправляясь в СУБД Firebase. Также FireScam поддерживает соединение с C2-сервером, что позволяет удалённо выполнять команды на устройстве жертвы.
Вот так выглядят техники мошенников с использованием FireScam в таблице MITRE ATT&CK для Android:
ID |
Техника |
Пояснение |
T1474 |
Компрометация цепочки поставок |
Маскируется под Telegram Premium и RuStore для обмана пользователей |
T1626.001 |
Обход механизма контроля привилегий правами администратора |
FireScam запрашивает права администратора устройства для блокировки, удаления и контроля функций (сброс пароля и т.п.) |
T1517 |
Доступ к уведомлениям |
ВПО перехватывает уведомления приложений, включая SMS-коды для аутентификации, для кражи данных |
T1414 |
Доступ к буферу обмена |
Собирает данные из буфера обмена (пароли, скопированные из мессенджеров) |
T1407 |
Загрузка кода во время исполнения |
Использует динамическую загрузку кода для обхода статического анализа в магазинах приложений |
T1437.001 |
Протокол прикладного уровня. Веб-протокол |
Эксфильтрует данные через Firebase Realtime Database, маскируя трафик под легитимный веб-протокол |
T1624 |
Выполнение по событию |
Регистрирует обработчики системных событий для активации функций |
Android.Spy.1292.origin
Android.Spy.1292.origin — Android-шпион, нацеленный на российских военнослужащих, использующих картографическое ПО Alpine Quest. Данный троян распространялся под видом версии скомпрометированного приложения с расширенным функционалом, доступ к которому предоставлялся через поддельный телеграм-канал.
При каждом запуске троян собирает и передаёт на C2-сервер множество конфиденциальных данных, в числе которых файл журнала локаций locLog, создаваемый самой программой Alpine Quest, а также документы, которые пользователи передают через мессенджеры Telegram и WhatsApp. Эти данные представляют наибольший интерес для создателей трояна.
Источник
Таблица MITRE ATT&CK для Android по данному ВПО:
ID |
Техника |
Пояснение |
T1474 |
Компрометация цепочки поставок |
ВПО внедрено в модифицированную версию Alpine Quest, распространяемую через фейковый Telegram-канал, с обещанием «расширенного функционала» |
T1655 |
Маскировка |
Маскируется под легитимную часть функционала Alpine Quest |
T1658 |
Эксплуатация клиентского ПО |
Пользователь запускает троян, открывая «Alpine Quest» |
T1398 |
Сценарии инициализации при загрузке или входе в систему |
Регистрирует BroadcastReceiver для автоматического запуска при перезагрузке устройства |
T1632 |
Нарушение работы средств контроля доверия |
Использует поддельный сертификат, имитирующий оригинальное приложение Alpine Quest |
T1426 |
Изучение системы |
Проверяет наличие Alpine Quest, версию ОС и права доступа к геолокации |
T1409 |
Сохранённые данные приложений |
Копирует файл locLog и документы из папок мессенджеров |
T1430 |
Изучение местоположения системы |
Получает данные, позволяющие отслеживать местоположение устройства |
T1437 |
Протокол прикладного уровня |
Отправка данных на сервер, замаскированная под легитимный трафик (обновление карт) |
Supercard X
Supercard X — это вредоносное ПО для Android, распространяемое по модели Malware-as-a-Service (MaaS). Оно осуществляет relay-атаки по NFC для кражи данных банковских карт и проведения несанкционированных транзакций.
Разработчики сервиса связаны с хакерскими группировками, участники которых общаются преимущественно на китайском языке. Точка входа — методы социальной инженерии.
Таблица MITRE ATT&CK для Android по данному ВПО:
ID |
Техника |
Пояснение |
T1660 |
Фишинг |
Сообщения по SMS/WhatsApp, имитирующие банковские уведомления |
T1655 |
Маскировка |
ВПО маскируется под «банковский инструмент безопасности» |
T1626 |
Обход механизмов контроля привилегий |
Приложение Reader запрашивает доступ к NFC-модулю |
T1533 |
Данные из локальной системы |
Считывание данных банковской карты через NFC |
T1521 |
Зашифрованный канал |
Взаимный TLS (mTLS) для защиты коммуникаций |
T1646 |
Эксфильтрация по каналу управления |
Данные банковских карт передаются злоумышленнику по C2 |
На рисунках ниже представлены данные по сэмплу ВПО, а также правило обнаружения вторжений.
Вывод
Простота, доверие к платформе и высокая вовлечённость пользователей Telegram делают его привлекательной средой для активности злоумышленников.
Чтобы минимизировать риск, важно соблюдать базовые принципы цифровой гигиены:
не скачивать файлы и не устанавливать приложения из подозрительных источников;
не переходить по подозрительным ссылкам;
не запускать вложения без проверки;
не доверять ботам, запрашивающим логины или коды;
настройка двухфакторной/многофакторной аутентификации и внимательное отношение к разрешениям приложений — простые, но эффективные меры защиты.
А в корпоративной среде важно не только техническое обеспечение безопасности, но и регулярное проведение ликбеза для сотрудников: обучение помогает повысить устойчивость организации к атакам, использующим человеческий фактор.
Индикаторы компрометации описанного в статье ВПО:
Mamont
136f2c4e5eded2b05fcd427fa453b145 |
23f550cd9989e55f38a98a2cb8ad428329c4c11b |
1b4016a5b68a9be9f46dd106465bc6797dbb8df38f09bfbbe7fb8ecf5b1aba27 |
f3f8a7a14e09a4095c9904673d7dad0b |
98ea59da6fa532249056fe075cceaf191296fbc4 |
c68b29ef6a0f8d4945665264e33d8fe32ff4ccc1935d20eb9f18497330e4c5c0 |
30fcfd7b23d8205ab8c623fc111ca464 |
1f9a6ce1a40df845befa2de2343d19ea186fb31c |
e8295e6cfc8fbc9da75061318d44bf311a6f7b044b2335b10ab585024db562bd |
DeliveryRAT
aa0f9e63574a2fd27a9ba43df7f6d54c |
0f0fa15e9b37d9980890dc723ced26d75eb1a5e4 |
bdc94d6baf0cf939b33f4928cc4cc15acc24a87fffd53afad3cc6d8fc5d6a047 |
Tria Stealer
de9384577e28c52f8dc690b141098969 |
dbd559728c551152e14e3b0d604fee2757bd1bdc |
9c0233f14d396bb1d0bb2b88843b1a8a87cb2ff0566fd99d71015659412f6352 |
3993142deafce26820411191e4fa9af8 |
87adedc81f26a47f5cbfa5d6163617967f00be77 |
63c971652d9313665df835836d1d36e602b7dbfef4ed21083f1adf8e4dceac74 |
b8f4ac57c06755e98ecd263020aeaa82 |
18d46b2e47c5e8758879219ab90957fd2e313b01 |
cbb10ed2e793fa54afe32365cbff23f64623a8773d2e50bf44c2084faec4506e |
5ed3ef03ca89c67bf93bb9230f5e4e52 |
5f5e2c02f76916072ed879ab30d6e74b23105506 |
23c8ab4a1cb858921efd7da9cbc95ada69423e64a6d931ee4a773c1431417171 |
96143c28e7937f64ecdb6f87510afbbe |
65a972d9125bc539cbd6462c8ea633fdcf53ee05 |
761669942e0da89ad2c20f0a36008050db2027defb48a9fcf490eb959bc7dcdd |
0e837107c42ee8282fd273e4a100b2de |
84096a9eea7748b57181a9ba9a5c1287e18b9700 |
f8027bd3df43e6e0e94a13191fc9cc4a3c5e81e21789c22587852c2a718f0c51 |
4e7a72f32d5b6679a58c8261049d063b |
e8fa2d5a228dec0420b33ddbf072c3baf2c5cc11 |
fa7fb699dfdaebc562b3c5a22ba56ae3ec45d67f909262d37938335165c95a6b |
448fd25e24980bb0abd1208b0395a8e1 |
d41618b4cd40872be1faf1cc6936e182da4600f8 |
c7721857e90a5c0f97c0b62c7fe06b19d1bde18a08e57127785687b5aa7c65da |
FireScam
5d21c52e6ea7769be45f10e82b973b1e |
88f45210b4af5f15544518a256a818f7c63cf89d |
b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b |
cae5a13c0b06de52d8379f4c61aece9c |
4efe9ea478a86b0eca8cb0e7e43236dc22e716a2 |
12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1 |
95f674ebcca919e2164f75bdf01c335d |
6a9ee1465462c70321b13236b5734466fd2d7fc3 |
6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2 |
9c0ebca7d1bde2c9ed99dbe4fe80a58d |
669a849e6e4ec36dff1d0b7877c5c2f7f185c985 |
0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd |
Android.Spy.1292.origin
31648a529f83fa1a9553d2937f6229b0 |
ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44 |
c6f57f4b052da4272adfe03c813a6f84a076bad7b216af0c377d3e4c3e0f1efd |
Supercard X
f949eadea1b78aa68c1a393019052bcb |
80e53f3fa70470f1cd659514315be6450b1edc58 |
2c6b914f9e27482152f704d3baea6c8030da859c9f5807be4e615680f93563a0 |
380f49a798e7d7ccedd12fca4f98f0e3 |
9d7ee835fe0504f2c6255e1f2176aa598db4ca78 |
3f39044c146a9068d1a125e1fe7ffc3f2e029593b75610ef24611aadc0dec2de |
7ec93bfdba5ceb158e5392533d85516a |
455683463f3b7fcf2cdb73ea88dc326cee881e79 |
3fb91010b9b7bfc84cd0c1421df0c8c3017b5ecf26f2e7dadfe611f2a834330c |