«Это ты на фото?» И если любопытство берет верх, то придет «Mamont»

Вредоносный файл «Фото.apk» в Telegram или Мах: как происходит взлом и что делать?
Как работает схема мошенничества «Это ты на фото?»

Мошенники используют социальную инженерию, рассылая в Telegram или Мах сообщение с провокационным вопросом: «Это ты на фотографиях?» (или вариантом «Это ты на видео?») или любым другим вопросом.
К сообщению прикреплен файл с расширением .apk, замаскированный под архив изображений (например, назван «Архив фото (7).apk» или просто «Фото.apk»). Злоумышленник пытается убедить жертву, что внутри — фотографии, на которых она изображена, побуждая кликнуть из любопытства. Важно понимать, что .apk — это не формат изображения, а установочный файл приложения для Android.

Министерство внутренних дел РФ отдельно предупреждало: «Фотография не может иметь расширение APK, в отличие от вредоносного ПО. Если получили такое сообщение, файлы ни в коем случае не скачивайте»

Таким образом, прикрепленный «архив фото.apk» на деле является вредоносной программой, а не изображением. Схема атаки развивается следующим образом: жертве приходит сообщение от неизвестного (или даже от взломанного аккаунта знакомого) с текстом вроде «Привет, это ты на фото?»
Визуально файл выглядит как медиафайл, но имеет расширение .apk вместо .jpg или png

Если пользователь подтверждает установку, на телефон проникает троянское приложение (в СМИ такая вредоносная программа получила название «Mamont», один из актуальных Android-троянов 2024 года

Итог: установка APK-файла из такого сообщения приводит к компрометации устройства. Мошенники получают ваши коды, входят в аккаунт, могут читать конфиденциальные переписки, рассылать от вашего имени сообщения и ссылки, а также добираются до других данных (финансовых и личных). Эта схема особо активна в 2024–2025 годах и уже принесла много жертв.

Если вы обнаружили, что по ошибке установили подозрительный .apk (например, заметили странное приложение после клика по «фото») Выполните следующие шаги:
Отключите интернет и удалите вредоносное приложение. Сразу переведите телефон в авиарежим или отключите Wi-Fi/мобильный интернет. Это помешает трояну отправлять ваши данные злоумышленникам, пока вы его удаляете. Затем зайдите в настройки телефона в раздел приложений и найдите недавно установленное неизвестное приложение (название может маскироваться под «Photo», «Images» или что-то похожее).

Просканируйте устройство на вирусы. По возможности установите надежное мобильное антивирусное ПО и выполните полную проверку системы. Это поможет выявить, не остались ли скрытые компоненты вредоноса. Если антивирус обнаружит угрозы – удалите или обезвредьте их. Убедитесь, что Google Play Protect включен (в настройках Google) – это встроенная защита Android от вредоносных приложений.

Смените пароли и настроить 2FA. После изгнания посторонних сеансов нужно предотвратить повторный взлом. Зайдите в Настройки > Конфиденциальность > Двухэтапная проверка (она же облачный пароль Telegram) и установите сложный пароль на аккаунт.

Изображения и видео никогда не присылаются в формате .apk
Если вам пришел файл с фотографиями, но расширение .apk – это гарантированно вирус.