Операторы фиксируют резкий рост заражений мобильных устройств вредоносным ПО

В России существенно увеличилось число заражений мобильных устройств вредоносными программами. Так, около 460 000 абонентов «Билайна» пользуются смартфонами с красным уровнем угрозы – высокой вероятностью наличия вредоносного ПО, способного перехватывать sms и контролировать действия на устройстве. Еще 1,5 млн абонентов находятся в желтой зоне, где только фиксируются первые признаки заражения. Такие данные 14 ноября на совместной конференции «Билайн бизнес» и «Ведомостей» Bee Techno в рамках форума «Цифровые решения» представил директор по антифроду «Билайна» Петр Алферов.

Представитель «Билайна» пояснил «Ведомостям», что эти данные получены за два месяца и сформированы в рамках совместного проекта с «Лабораторией Касперского». По его словам, продукт работает на стыке технологий оператора (анализ сетевого трафика) и вендора (выявление вредоносного ПО).

Он добавил, что в 2026 г. оператор планирует запустить раздел в приложении, позволяющий пользователям самостоятельно проверять устройство на наличие признаков вредоносного ПО в трафике. Сейчас компания информирует пользователей через sms-уведомления.

Новые схемы

Алферов напомнил, что в отрасли уже работает первый антифрод-пакет, а второй активно обсуждается. «Билайн», по его словам, оценивает регулирование положительно: в пакеты включаются «лучшие практики», уже протестированные на рынке. Он привел пример нормы, которая войдет во второй пакет: маркировка международных звонков и возможность абонента отказаться от таких вызовов.

Также Алферов отметил важность синхронного внедрения отдельных мер – например, ограничения числа сим-карт на человека. По его словам, такие меры невозможно опробовать оператору в одиночку, иначе он «проиграет рынок», поэтому они должны вводиться одновременно всеми участниками.

По оценке топ-менеджера оператора, мошенническая активность остается высокой, однако заметно меняется структура атак. Ранее одним из основных векторов была подмена номеров, в том числе органов власти. По словам Алферова, меры операторов и первое антифрод-регулирование позволили значительно снизить эффективность таких схем.

Сейчас, отметил он, мошенники смещают акцент на вредоносное ПО и эксплуатацию человеческого фактора.

Рост угроз

Директор департамента потребительского бизнеса «Лаборатории Касперского» Марина Титова подтвердила рост угроз. По ее словам, компания ежедневно находит более 500 000 уникальных вредоносных файлов и около 15 млн вредоносных объектов в целом по всему миру.

Титова также отметила, что в России количество угроз для Android-устройств за 2025 г. выросло в 2 раза, а число пользователей, получивших атаку трояна «Мамонт», увеличилось в 36 раз по сравнению с прошлым годом.

Она подтверждает, что основной вектор доставки вредоносного ПО – мессенджеры, поскольку пользователи проводят в них больше времени, чем в почте, а мошенникам проще вовлечь человека в сценарий взаимодействия с помощью призывов «проголосуйте», «посмотрите фото» и др.

«Мегафон» также зафиксировал «кратный рост» заражений мобильных устройств в 2025 г., рассказал «Ведомостям» представитель оператора. Среднемесячные показатели за 10 месяцев текущего года, по данным компании, в 4–5 раз выше, чем в 2024 г. Аналитики «Мегафона» также зафиксировали резкий всплеск заражений в марте 2025 г. – количество зараженных устройств тогда выросло на 800% относительно среднего уровня 2024 г.

Вредоносное ПО позволяет мошенникам автоматизировать процесс сбора данных, работать круглосуточно и одновременно атаковать тысячи устройств, продолжает представитель оператора. По его словам, схемы заражения реализуются через распространение программ под видом популярных приложений. В компании уточнили, что такие программы собирают информацию о владельце устройства, контактах и сервисах, а также могут записывать экран и звук. «Мегафон» выявляет зараженные устройства по вредоносному трафику, блокирует доступ к управляющим серверам такого ПО по всей сети и сообщает абонентам о том, что их устройство заражено.

«Чтобы масштабировать эту работу и делать эффективнее, надо объединять усилия всех участников: блокировать доступы на государственном уровне, обмениваться информацией. К примеру, в некоторых банковских приложениях есть возможность определять вредоносное воздействие, при выявлении таких устройств банк может передавать обезличенные данные оператору для предотвращения мошенничества в других каналах», – считают в «Мегафоне».

Представитель МТС, T2 и мессенджера Max отказались от комментариев.

Популярные угрозы

По словам Алферова, в 2025 г. наиболее распространенным вредоносным ПО стал банковский троян «Мамонт», который перехватывает sms, включая коды подтверждения банкинга, и передает их на управляющий сервер. Среди других актуальных угроз представитель «Билайна» назвал Clayrat и NFCGate.

Алферов также отметил, что операторы фиксируют распространение схем, при которых вредоносные приложения способны построить «мост» между телефоном и банкоматом: дроппер, получив доступ к устройству, может инициировать снятие средств.

Механика заражения, по словам Алферова, остается простой: пользователю в мессенджере приходит файл с провокационной подписью – например: «Увидел тебя на фото – это ты?» После открытия файл распаковывается, и устройство заражается.

Он подчеркнул, что многие пользователи по-прежнему проявляют избыточную доверчивость, несмотря на усилия операторов и вендоров, которые, например, проводят курсы по киберграмотности. По его словам, исследования показывают, что часть пользователей считают угрозы «слишком сложными» или надеются, что они «не коснутся лично его».

В 2025 г. «Мамонт» стал «самым массовым Android-трояном», писал ТАСС со ссылкой на «Мегафон» 24 ноября 2025 г. Его распространение резко выросло с февраля, достигнув пиковых значений в марте: более 20 000 заражений в месяц. После временного снижения активность вновь начала расти летом и к сентябрю превысила 10 000 заражений в месяц.

Руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин пояснил, что «Мамонт» распространяется через .apk-файлы, отправляемые в личных и групповых чатах мессенджеров. По его словам, вирус получает доступ к sms и push-уведомлениям, что позволяет злоумышленникам заходить в банковские приложения пользователей.

Он уточнил, что злоумышленники используют провокационные подписи: например, «это ты на фото?», «посмотри видео», – а также подменяют зараженные файлы под документы или письма госорганов. Воронин считает, что мессенджеры «всегда будут главным каналом» распространения вредоносов, поскольку позволяют рассылать файлы широкому кругу получателей.

Директор департамента расследований T.Hunter Игорь Бедеров считает оценки «Билайна» реалистичными, однако, по его словам, они требуют уточнения методологии. «Независимые данные подтверждают масштабы проблемы. Например, «Мегафон» в сентябре 2025 г. фиксировал около 70 000 активных заражений в месяц – примерно 1% его абонентской базы. За январь – август 2025 г. только по трояну «Мамонт» число жертв приблизилось к миллиону в России, что соответствует порядку величины, заявленному «Билайном», – сообщил он.

Бедеров отметил, что оператор использует DPI (Deep Packet Inspection) – технологию анализа сетевого трафика, позволяющую выявлять вредоносное ПО по сигнатурам и поведенческим признакам. В обсуждении, напомнил он, Алферов упоминал, что данные собираются «один день за один день», т. е. представляют собой снимок трафика за 24 часа, а не длительную репрезентативную выборку.

По словам эксперта, троян «Мамонт» специализируется на кражах через sms-банкинг: он перехватывает sms и push-уведомления, получает коды подтверждения для доступа в мессенджеры и онлайн-банки, а также используется в сценариях фишинга. В отдельных версиях троян может перехватывать сообщения в мессенджерах. Он распространяется через .apk-файлы, маскирующиеся под фото или видео, приложения удаленного доступа или трекеры заказов.

Бедеров подтвердил, что мессенджеры остаются основным каналом распространения вредоносных программ. По его словам, киберпреступники перешли преимущественно в Telegram, WhatsApp и Viber еще в конце 2022 – начале 2023 г. на фоне мер по борьбе с мошенничеством в других каналах. «Пользователи чаще открывают файлы от контактов в мессенджерах, чем вложения от неизвестных отправителей по e-mail», – добавил он.