Тестировщик под прицелом. Онлайн-мошенники украли у айтишников 14 млн руб. с помощью новой схемы

Аналитики АО "Будущее" (F6) обнаружили новый сценарий мошенничества, нацеленный на ИТ-сотрудников. Мошенники выдавали себя за разработчиков приложений и искали тестировщиков в профильных Telegram-чатах, группах в социальных сетях и на площадках бесплатных объявлений. Они предлагали от 3 тыс. до 5 тыс. руб. за час работы по тестированию мобильного приложения, а потом отправляли всем согласившимся APK-файл, содержавший вредоносное ПО, дающее доступ к SMS-сообщениям и Push-уведомлениям от банков. Две скам-группы похитили более 14 млн руб. с апреля 2025 г. благодаря новому сценарию.

При этом мошенники серьезно подошли к вопросу собственной маскировки. Согласно сообщению компании, при создании аккаунтов на профильных сайтах, чатах и так далее, злоумышленники создавали образ, вызывающий доверие: например, использовали фото мужчин-руководителей, покупали рекламу для продвижения фейковых объявлений и так далее. Откликнувшимся на предложение о работе на профильных сайтах предлагали перенести общение в мессенджеры.

Потенциальных жертв просили заполнить анкету, в которой они должны были указать персональные данные и номер банковской карты для "перевода заработка", который должен был поступить сразу после выполнения работы.

"После заполнения анкеты соискателю сразу же сообщают, что он принят и может приступить к выполнению первого задания. Под видом приложения для тестирования пользователю присылают АPK-файл. На самом деле это троян удаленного доступа (RAT), который позволяет злоумышленникам получить контроль над устройством жертвы и перехватывать все SMS и Push-уведомления. Чтобы убедить жертву установить вредоносный АPK-файл на устройство и выдать все запрашиваемые разрешения, мошенники убеждают соискателя, что его задача – тестировать приложение как обычный пользователь, в том числе проходить регистрацию и проверять функции. Также злоумышленники заранее предупреждают жертву, что при установке приложения антивирус может определять его как вредоносное", - говорится в сообщении компании.

Директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, группы компаний "Солар" Александр Вураско рассказал, что аналогичные схемы с другими специалистами функционируют много лет. По его словам, ИТ-специалисты всегда были в прицеле злоумышленников в контексте атак на информационные системы компаний. Однако, новая схема выделяет ИТ-специалистов просто как целевую группу, для которых придумали новую легенду.

"На первоначальном этапе злоумышленникам важно замотивировать жертву для совершения необходимых действий - установки вредоносной программы. В данном контексте ИТ-специалисты не более и не менее уязвимы, чем другие категории. Тестировщика куда проще уговорить установить программу на телефон или компьютер, так как его работа связана с тестированием софта и установкой самых разных программ", - рассказал он.

С ним согласился ведущий аналитик отдела мониторинга ИБ ООО "Спикател" Алексей Козлов. Он отметил, что ИТ-специалисты часто становятся мишенями хакеров из-за их доступа к критическим системам и конфиденциальной информации. Обладатели административных прав или доступом к финансовой информации - наиболее приоритетные цели.

"В начале мая мы фиксировали фишинговую рассылку по сотрудникам организаций, которая приходила от имени якобы HR-отделов. В сообщении говорилось, что перед сезоном отпусков дизайнеры компании сделали специальный пак с аватарками, которые можно установить в мессенджерах, чтобы сообщить коллегам о временном исчезновении из рабочих чатов. К сообщению злоумышленники прикрепляли RAR-архив, при открытии которого запускался макрос для поиска и кражи конкретных файлов на компьютере жертвы, например, документов с определенными словами в названиях, и отправки их злоумышленникам", - рассказал он.