Как мошенники маскируют вредоносные файлы

Основной канал — это мессенджеры, чаще всего телеграм. Реже такие ссылки встречаются в соцсетях, СМС и электронных письмах.

Есть два частых сценария.

Сценарий 1. Сообщение от знакомого. Файл может прийти от человека из ваших контактов. Текст обычно выглядит максимально бытовым, чтобы вы открыли его на автомате. Например: «Это ты на видео?» или «Срочно открой файл, тут документы».

Если вы получили странный файл от знакомого, это может означать, что его устройство или аккаунт уже заражены, и рассылка идёт автоматически по контактам.

Сценарий 2. Сообщение от «официального» аккаунта. Мошенники могут писать с незнакомого номера или аккаунта с названием, похожим на официальный, например tbc_bonus, payme_bonus, tbc_support или похожего.

Сообщение обычно обещает выгоду или давит срочностью. Например: «Вы получили бонус», «Вы выиграли 10 000 000 сумов» или «По вашему счёту есть задолженность. Чтобы избежать блокировки карты, подтвердите данные».

Дальше предлагают скачать файл или установить приложение.

Чаще всего мошенники присылают не ссылку на сайт, а файл, который предлагают скачать и установить: файл формата APK для Android и EXE для компьютеров на Windows. Реже присылают архивы и установщики для IPhone и Mac.

APK для Android. Самый распространённый вариант в Узбекистане — это APK-файл. Это установочный файл приложения для Android.

Распознать легко: название заканчивается на .apk. Например, vash_bonus_tbc.apk.

Проблемы начинаются, когда вы устанавливаете APK и соглашаетесь на доступ к СМС и уведомлениям.

Если у вас iPhone

APK на iPhone не устанавливается. Даже если вы попытаетесь его установить — ничего не выйдет. Но это не значит, что вы полностью защищены. Для iPhone чаще используют фишинговые ссылки и сообщения с просьбой «подтвердить данные», «ввести код из СМС», «войти в аккаунт».

EXE для компьютера на Windows. Иногда расширение у файла .exe. Это файл программы для Windows.

Примеры названий: bonus.exe, kredit.exe, zadolzhennost.exe, shtraf.exe или похожие варианты.

Если у вас Mac

На Mac файлы EXE обычно не запускаются. Но опасны другие установщики, например с расширением .dmg и .pkg. Их могут присылать как «обновления» или «нужное приложение».

Если просят установить приложение из чата или отключить защиту системы, это почти всегда плохая идея.

ZIP и другие архивы. Ещё один вариант — это архив, чаще всего ZIP. Например: vash_kredit.zip, subsidiya.zip. Внутри него может лежать APK, EXE или другой установщик. Опасность возникает, когда вы распаковываете архив и запускаете файл внутри.

Название файла — часть обмана. Обычно оно выглядит максимально «кликабельно», чтобы вы заинтересовались. 

Часто это бытовые названия вроде Video.apk или Taklifnoma.apk. Иногда файл маскируют под госучреждение, банк или сервис, например SudgaChaqiruv.apk, PaymeBonus.apk, SoliqUz.apk.

Срабатывает простая логика: человек видит знакомое слово или что-то, что цепляет внимание, и открывает файл.

Важно: не устанавливайте приложения и не запускайте установщики, которые пришли в мессенджере, даже если название выглядит знакомо.

Дальше сценарий обычно один и тот же — неважно, что именно вам прислали: APK, EXE, установщик для Mac или архив. Мошенникам нужно, чтобы вы запустили установку и дали доступы.

Приложение просит предоставить разрешения. Если согласитесь, оно может получить доступ к уведомлениям, сообщениям и данным на устройстве. На телефоне это часто включает СМС и уведомления, а значит, одноразовые коды. После этого злоумышленники пытаются входить в ваши аккаунты, рассылать вредоносные файлы вашим контактам и проводить операции в сторонних сервисах, где подтверждение идёт через коды из СМС или уведомлений.

Иногда приложение маскируется: может «исчезнуть» с главного экрана или написать, что «файл повреждён». На самом деле оно может остаться в системе и продолжать работать.

Заражённое устройство само по себе не означает, что злоумышленники сразу смогут войти в ваш аккаунт TBC UZ. Для входа и важных действий банк использует дополнительные проверки, и в некоторых случаях система может запросить подтверждение личности.

При этом риски всё равно остаются. Если вредонос получил доступ к СМС и уведомлениям, мошенники могут перехватывать одноразовые коды. 

Поэтому важно действовать быстро: если вы подозреваете заражение, сразу свяжитесь с банком по официальному номеру. Банк сможет заблокировать карту или временно ограничить операции, чтобы снизить риск потерь, пока вы удаляете вредоносное приложение и возвращаете контроль над аккаунтами.

Иногда вредоносное приложение не выглядит как вирус и может почти не выдавать себя. Но есть признаки, по которым можно заподозрить заражение.

Стоит насторожиться, если:

• Появляются СМС или пуш-уведомления о входе в сервисы, которые вы не пытались открыть. Например, телеграм, почта, платёжные приложения. Иногда такие сообщения могут быстро исчезать.

• Приходят уведомления о списаниях или попытках оплаты, которые вы не совершали.

• Телефон или компьютер работает заметно медленнее, сильнее греется без нагрузки или быстро разряжается.

• Появляются неизвестные приложения или меняются настройки, хотя вы ничего не устанавливали и не меняли.

• Телеграм внезапно становится недоступным или вы видите вход с другого устройства, которого у вас нет.

Если вы заметили один или несколько признаков, лучше отключить интернет и действовать по инструкции в следующем разделе.

Если вы заметили признаки заражения или уже установили приложение из файла, важно действовать быстро.

Отключите интернет. На телефоне выключите мобильные данные и Wi-Fi или включите авиарежим. На компьютере отключите Wi-Fi или выдерните кабель.

Свяжитесь с банком по официальному номеру. Его можно найти на обороте карты или на официальном сайте. Попросите проверить операции и при необходимости заблокировать карту или временно ограничить действия по ней.

Удалите подозрительное приложение или программу. 

На телефоне откройте «Настройки» → «Приложения» и удалите всё, что вы устанавливали из чатов или что выглядит подозрительно.

На компьютере откройте «Параметры» → «Приложения» или «Панель управления» → «Программы» и удалите недавно установленные или подозрительные программы. 

Некоторые банковские приложения могут предупреждать о подозрительных приложениях на устройстве. Если такое предупреждение появилось, проверьте приложение по package name — это техническое имя приложения в системе, и его обычно указывают в уведомлении банка. 

Вредоносные приложения могут копировать названия и иконки популярных сервисов. Например, на телефоне могут быть установлены два приложения Zoom с одинаковыми иконками. При этом package name у них будет разным.

Как проверить package name на Android:

Откройте «Настройки» → «Приложения», найдите приложение с тем же названием и откройте информацию о нём. Там будет указано package name. Сверьте его с тем, что было в уведомлении банка. Если значения не совпадают, такое приложение лучше удалить

Проверьте телеграм и другие важные сервисы. В Telegram откройте «Настройки» → «Устройства» и завершите все сеансы от неизвестных устройств.

Если есть возможность, выйдите из аккаунтов на всех устройствах в почте и других сервисах.

Смените пароли. Смените пароли от телеграма, почты и других важных сервисов. Лучше делать это с другого устройства, которому вы доверяете.

Запустите проверку безопасности. На Android включите Play Protect в Google Play и запустите проверку устройства. На компьютере запустите полную проверку антивирусом.

Если удалить вирус не получается, обратитесь в сервисный центр или к специалистам по кибербезопасности.

Не устанавливайте приложения из чатов. Если вам прислали APK, EXE, архив или «обновление», не запускайте установку и не открывайте файлы внутри архива.

Скачивайте приложения только из официальных магазинов и с официальных сайтов.

Никому не сообщайте коды из СМС и уведомлений. Банк и службы поддержки не просят такие коды в переписке или по телефону.

Если что-то насторожило, сразу отключите интернет и свяжитесь с банком по официальному номеру.