Telegram как опасный канал кибератак: эксперты раскрывают новые схемы мошенников и вредоносное ПО

Эволюция Telegram в полноценную экосистему с ботами, файлообменником и активными сообществами создала идеальную среду для киберпреступников, использующих последние обновления платформы в мошеннических целях. Наиболее распространёнными остаются заражённые APK-файлы, фишинговые формы и скомпрометированные боты, маскирующиеся под легитимные сервисы.

Классический фишинг в Telegram приобрел новые формы. Злоумышленники рассылают мошеннический контент через личные сообщения, каналы и чаты, эксплуатируя человеческие слабости. Одна из топовых схем - "фейковые подарки", где пользователям обещают бесплатный Telegram Premium. Жертву перенаправляют на фишинговый сайт, имитирующий официальный интерфейс, и просят ввести номер телефона. Получив настоящий SMS-код от Telegram, пользователь вводит его на поддельной странице, думая, что подтверждает акцию, но фактически передаёт злоумышленникам доступ к аккаунту. Ещё опаснее стали атаки с QR-кодами, которые приобрели массовый характер. Мошенники размещают вредоносные коды в общественных местах - на туристических объектах, в меню ресторанов или даже на афишах, маскируя их под полезные ссылки. При сканировании жертва попадает либо на страницу скрытого платежа, либо на фишинговый ресурс, имитирующий банки или Госуслуги, где крадут логины и платежные данные. Особую тревогу вызывает практика размещения QR-кодов в подъездах жилых домов под видом приглашений в "домовые чаты". Переход по ним ведёт на фальшивую веб-версию Telegram для кражи учетных данных или в чат-ловушку, где цель - захват аккаунта для дальнейшего спама.

Telegram-боты стали универсальным инструментом преступников. Они выполняют три ключевые роли: приманку через кликбейт (розыгрыши, проверки аккаунтов), сбор конфиденциальных данных (номера телефонов, SMS-коды) и непосредственное мошенничество. В ходе исследования был обнаружен бот, выдававший себя за помощника онлайн-школы. Злоумышленники рассылали сообщения с просьбой перейти к "куратору", используя совпадающие имена для имитации легитимности, хотя часто даже не маскируют несоответствия в профилях. Но главную угрозу представляют ВПО, распространяемые через мессенджер. Троян Mamont, активный до сих пор, рассылается в .apk-файлах под видом фото или видео с провокационным текстом "Это ты на фото?". После установки он запрашивает опасные разрешения: доступ к SMS, уведомлениям, контактам и истории звонков, загружает дополнительные модули и поддерживает связь с C2-сервером через WebSocket. Согласно MITRE ATT&CK, он использует технику фишинга (T1660), обходит контроль привилегий через права администратора (T1626.001) и перехватывает ввод данных в банковских приложениях (T1417).

Не менее опасен DeliveryRAT, маскирующийся под приложения маркетплейсов (Ozon, Wildberries). Распространяясь под предлогом трудоустройства, троян крадет SMS, контакты и данные буфера обмена, а по MITRE ATT&CK демонстрирует сбор SMS-сообщений (T1636.004) и перехват ввода (T1417). Вирусная схема "Приглашение на свадьбу" использует социальную инженерию: жертвам рассылают APK-файл для "просмотра приглашения", который содержит стилер Tria. Он похищает переписку, фото и финансовые данные, а затем автономно рассылает зараженные сообщения контактам жертвы. Украденные OTP-коды позволяют злоумышленникам получать доступ к банковским счетам. FireScam внедряется через поддельную страницу RuStore, предлагая "Telegram Premium". Дроппер GetAppsRu.apk скрытно устанавливает основной модуль, который крадет данные авторизации и передает их в Firebase, а по MITRE ATT&CK компрометирует цепочку поставок (T1474) и перехватывает уведомления (T1517). Целевая атака Android.Spy.1292.origin нацелена на военных: троян маскируется под картографическое приложение Alpine Quest, похищая геоданные и документы через Telegram. Supercard X, работающий по модели Malware-as-a-Service, проводит relay-атаки через NFC для кражи данных банковских карт, используя фишинг (T1660) и шифрование трафика (T1521).

Эксперты подчеркивают: простота Telegram и доверие пользователей делают его идеальным полигоном для атак. Для защиты необходимо строгое соблюдение цифровой гигиены: никогда не скачивать файлы из непроверенных источников, игнорировать подозрительные ссылки, не запускать вложения без верификации и блокировать ботов, запрашивающих коды или логины. Критически важно настраивать двухфакторную аутентификацию и контролировать разрешения приложений. В корпоративном секторе, помимо технических мер, необходимы регулярные тренинги для сотрудников, поскольку человеческий фактор остается главной уязвимостью. Игнорирование этих правил превращает удобный мессенджер в троянского коня для киберпреступников, чьи схемы становятся всё сложнее и масштабнее. Только комплексный подход к безопасности способен противостоять растущему потоку угроз, использующих Telegram как основной канал доставки.

MD5

• 0e837107c42ee8282fd273e4a100b2de
• 136f2c4e5eded2b05fcd427fa453b145
• 30fcfd7b23d8205ab8c623fc111ca464
• 31648a529f83fa1a9553d2937f6229b0
• 380f49a798e7d7ccedd12fca4f98f0e3
• 3993142deafce26820411191e4fa9af8
• 448fd25e24980bb0abd1208b0395a8e1
• 4e7a72f32d5b6679a58c8261049d063b
• 5d21c52e6ea7769be45f10e82b973b1e
• 5ed3ef03ca89c67bf93bb9230f5e4e52
• 7ec93bfdba5ceb158e5392533d85516a
• 95f674ebcca919e2164f75bdf01c335d
• 96143c28e7937f64ecdb6f87510afbbe
• 9c0ebca7d1bde2c9ed99dbe4fe80a58d
• aa0f9e63574a2fd27a9ba43df7f6d54c
• b8f4ac57c06755e98ecd263020aeaa82
• cae5a13c0b06de52d8379f4c61aece9c
• de9384577e28c52f8dc690b141098969
• f3f8a7a14e09a4095c9904673d7dad0b
• f949eadea1b78aa68c1a393019052bcb

SHA1

• 0f0fa15e9b37d9980890dc723ced26d75eb1a5e4
• 18d46b2e47c5e8758879219ab90957fd2e313b01
• 1f9a6ce1a40df845befa2de2343d19ea186fb31c
• 23f550cd9989e55f38a98a2cb8ad428329c4c11b
• 455683463f3b7fcf2cdb73ea88dc326cee881e79
• 4efe9ea478a86b0eca8cb0e7e43236dc22e716a2
• 5f5e2c02f76916072ed879ab30d6e74b23105506
• 65a972d9125bc539cbd6462c8ea633fdcf53ee05
• 669a849e6e4ec36dff1d0b7877c5c2f7f185c985
• 6a9ee1465462c70321b13236b5734466fd2d7fc3
• 80e53f3fa70470f1cd659514315be6450b1edc58
• 84096a9eea7748b57181a9ba9a5c1287e18b9700
• 87adedc81f26a47f5cbfa5d6163617967f00be77
• 88f45210b4af5f15544518a256a818f7c63cf89d
• 98ea59da6fa532249056fe075cceaf191296fbc4
• 9d7ee835fe0504f2c6255e1f2176aa598db4ca78
• ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44
• d41618b4cd40872be1faf1cc6936e182da4600f8
• dbd559728c551152e14e3b0d604fee2757bd1bdc
• e8fa2d5a228dec0420b33ddbf072c3baf2c5cc11

SHA256

• 0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd
• 12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
• 1b4016a5b68a9be9f46dd106465bc6797dbb8df38f09bfbbe7fb8ecf5b1aba27
• 23c8ab4a1cb858921efd7da9cbc95ada69423e64a6d931ee4a773c1431417171
• 2c6b914f9e27482152f704d3baea6c8030da859c9f5807be4e615680f93563a0
• 3f39044c146a9068d1a125e1fe7ffc3f2e029593b75610ef24611aadc0dec2de
• 3fb91010b9b7bfc84cd0c1421df0c8c3017b5ecf26f2e7dadfe611f2a834330c
• 63c971652d9313665df835836d1d36e602b7dbfef4ed21083f1adf8e4dceac74
• 6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2
• 761669942e0da89ad2c20f0a36008050db2027defb48a9fcf490eb959bc7dcdd
• 9c0233f14d396bb1d0bb2b88843b1a8a87cb2ff0566fd99d71015659412f6352
• b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
• bdc94d6baf0cf939b33f4928cc4cc15acc24a87fffd53afad3cc6d8fc5d6a047
• c68b29ef6a0f8d4945665264e33d8fe32ff4ccc1935d20eb9f18497330e4c5c0
• c6f57f4b052da4272adfe03c813a6f84a076bad7b216af0c377d3e4c3e0f1efd
• c7721857e90a5c0f97c0b62c7fe06b19d1bde18a08e57127785687b5aa7c65da
• cbb10ed2e793fa54afe32365cbff23f64623a8773d2e50bf44c2084faec4506e
• e8295e6cfc8fbc9da75061318d44bf311a6f7b044b2335b10ab585024db562bd
• f8027bd3df43e6e0e94a13191fc9cc4a3c5e81e21789c22587852c2a718f0c51
• fa7fb699dfdaebc562b3c5a22ba56ae3ec45d67f909262d37938335165c95a6b