Специалисты предупреждают, что злоумышленники способны внедрять на смартфоны скрытые вирусные программы. Такое вредоносное ПО, работая в фоновом режиме, выполняет различные задачи в интересах киберпреступников. При этом владельцы устройств часто даже не догадываются об опасной активности. О методах атак, их угрозах и способах защиты рассказывает материал «Известий».

Что известно о новой атаке со скрытыми вирусами

В конце февраля эксперты исследовательской компании IAS Threat Lab сообщили о выявлении новой скоординированной кампании Genisys. В ее рамках свыше 25 миллионов мобильных девайсов без ведома пользователей были превращены в инструмент для создания фальшивого рекламного трафика.

Злоумышленники внедряли вредоносный код в приложения, внешне выглядевшие легитимно: программы для очистки памяти, офисные инструменты, читалки и фонарики. После установки эти приложения в фоне начинали открывать сотни сайтов в скрытых окнах, имитируя поведение реальных людей.

Киберпреступники также использовали технику подмены идентификаторов приложений. Системы мониторинга фиксировали трафик, будто бы исходящий от тысяч разных популярных программ, хотя источником была небольшая группа зараженных утилит. Этот метод создавал информационный шум и осложнял обнаружение бэкдоров.

После блокировки мошеннических приложений объем подозрительных запросов упал более чем на 95%, что подтвердило централизованное управление всей сетью. По словам специалистов по кибербезопасности, атака Genisys символизирует переход рекламного мошенничества на новый технологический этап.

Как хакеры заражают смартфоны скрытыми вирусами

Главная особенность современного мобильного вредоносного ПО для рекламного мошенничества — его незаметность для владельца и легитимный внешний вид, отмечает в разговоре с «Известиями» ведущий эксперт по сетевым угрозам и web-разработчик «Кода Безопасности» Константин Горбунов. Вирус больше не проявляет себя навязчивой рекламой, а маскируется под полезную программу.

— Пока пользователь видит привычный интерфейс, вредоносный модуль в фоне решает задачи злоумышленников — создает фальшивые клики по рекламе и имитирует сетевую активность, — поясняет эксперт. — Цель таких программ — не кража данных, а монетизация ресурсов устройства: процессора, аккумулятора и рекламного трафика.

Подобные вирусы распространяются разными изощренными способами, от заводского уровня до повседневных приложений, говорит руководитель группы ИБ-инженеров «Лиги Цифровой Экономики» Илья Павлюк. Один из самых опасных путей — предустановка вредоносов на этапе производства или при «сером» импорте. К примеру, в России «Лаборатория Касперского» обнаружила вирусы Keenadu и Triada в новых Android-устройствах еще до продажи: они находились в системных разделах, показывали рекламу и похищали данные в 13 тысячах случаев.

Другой распространенный канал — сторонние APK-файлы из фишинговых ссылок в WhatsApp (принадлежит компании Meta, признанной в РФ экстремистской организацией), SMS или Telegram. Пользователи скачивают так называемые «кряки» (вредоносные программы для обхода защиты), VPN или игры, скрывающие трояны, такие как Sturnus, способный читать зашифрованные переписки, рассказывает Илья Павлюк.

— Даже Google Play не гарантирует безопасность: 60 тысяч рекламных приложений под видом утилит и игр незаметно распространяли трафик, а Genisys скрывалась в популярных программах и устанавливала фоновые сервисы без ведома владельца, — предупреждает специалист.

По словам руководителя департамента киберразведки компании «Бастион» Константина Ларина, «поймать» скрытый вирус можно даже при обычном подключении к подозрительным USB-накопителям в общественных местах.

Как киберпреступники применяли скрытые вирусы ранее

Злоумышленники используют скрытые вирусы не первый год — атака Genisys является самой свежей, но не единственной в своем роде. Одним из наиболее опасных случаев в последнее время стало вредоносное ПО Triada, предустановленное прямо в прошивку поддельных Android-смартфонов известных марок, продававшихся на маркетплейсах, рассказывает руководитель группы анализа ВПО центра исследования киберугроз Solar 4RAYS (ГК «Солар») Станислав Пыжов.

— Вредоносный код встроен в системный раздел и почти не удаляется. После запуска он контролирует большинство популярных приложений, может перехватывать SMS, красть криптовалюту и аккаунты в мессенджерах и соцсетях, а также выполнять другие скрытые операции, что делает такие устройства серьезной угрозой, — говорит собеседник «Известий».

В 2025 году вирус Sturnus стал «хитом» среди банковских троянов: он проникал через мессенджер WhatsApp и получал доступ к чатам в Telegram и Signal через удаленный доступ к экрану, напоминает Илья Павлюк. Кроме того, в период с 2021 по 2025 год действовал вирус LianSpy, маскировавшийся под банковские приложения и кравший скриншоты, а также контакты российских пользователей.

Основная опасность скрытых вирусов — «выгорание» и преждевременный износ устройства пользователя, отмечает ведущий инженер-аналитик аналитического центра кибербезопасности «Газинформсервиса» Максим Федосенко. Иными словами, зараженный телефон буквально перерабатывает на теневых задачах злоумышленника, пока его хозяин спит. В итоге жертва собственными мощностями и финансами оплачивает деятельность киберпреступников.

— Также серьезным риском является подготовка почвы для полноценного взлома: приложение, установившее связь с сервером злоумышленников, становится «открытой дверью», через которую хакеры могут в любой момент незаметно загрузить более опасные инструменты для слежки и кражи данных, — добавляет Константин Горбунов.

Как распознать скрытый вирус на зараженном смартфоне

Обнаружить тайного «цифрового шпиона» на зараженном устройстве часто непросто, но возможно, если обращать внимание на явные аномалии в работе гаджета, указывает Максим Федосенко. Например, смартфон может начать беспричинно нагреваться в простое, батарея — быстро разряжаться, а статистика использования приложений и сети внезапно покажет огромный расход интернет-трафика, зачастую от легитимных программ.

— Суть в том, что виновником может быть не только сомнительный APK-файл, скачанный со стороннего ресурса, но и популярное приложение из официального магазина, которое через свои уязвимости загрузило вредоносный код и стало мимикрировать под легитимный процесс, — объясняет собеседник «Известий».

Если телефон начал вести себя странно, и его активность слабо связана с действиями владельца, необходимо предпринять ряд шагов. В первую очередь следует зайти в настройки и проверить, какие приложения потребляют слишком много энергии или интернет-трафика без очевидной причины, рекомендует Константин Горбунов.

— Обязательно обратите внимание на разрешения: если обычный «фонарик» или другая простая утилита запрашивает доступ к уведомлениям, камере, контактам или другим особым возможностям, это серьезный повод для подозрений, — предупреждает он.

Большой расход заряда приложением в фоновом режиме — это повод усомниться в качестве такого софта или удалить его с телефона, подчеркивает старший специалист отдела экспертизы PT Sandbox Алексей Колесников.

— Система сама удалит оставшиеся артефакты, а для дополнительной надежности можно перезагрузить устройство, — советует собеседник «Известий».

Крайне важно использовать надежные защитные решения, которые помогут обнаружить вредоносное ПО на устройстве, призывает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.