Мошенники приглашают тестировщиков приложений

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новый сценарий мошенничества, который нацелен на ИТ-специалистов, находящихся в поиске работы или дополнительного заработка. Цель злоумышленников – убедить потенциальную жертву установить на своем устройстве вредоносное приложение, чтобы получить доступ к СМС и push-уведомлениям от банков.

Мошенники с подставных аккаунтов размещают объявления о наборе тестировщиков приложений от крупных компаний с зарплатой от 3000 до 5000 рублей за час работы. Среди требований – российское гражданство и смартфон на базе Android. Фейковые вакансии размещают на всех возможных площадках: от профильных телеграм-чатов и групп в социальных сетях до популярных платформ бесплатных объявлений, сервисов поиска работы и сайтов для фрилансеров.

При создании аккаунтов на таких сайтах злоумышленники стараются создать образ, вызывающий доверие. Как правило, для этого используют качественные фото мужчин-руководителей. Для продвижения фейковых объявлений в социальных сетях мошенники покупают рекламу. В отклике на вакансию потенциальных тестировщиков просят указать название устройства и возраст.

После того как пользователь отвечает на ложную вакансию, найденную на сайте бесплатных объявлений или сервисе поиска работы, мошенники предлагают продолжить переписку в «Телеграм» или WhatsApp (принадлежит компании Meta, которая признана экстремистской организацией и запрещена в РФ). Для обхода запретов на обмен контактами, который установлен на сайтах для фрилансеров, злоумышленники могут использовать облачные файлы, например прислать ссылку на документ якобы с тестовым заданием, в котором на самом деле указан только аккаунт для контактов.

При общении в мессенджере мошенники подтверждают условия работы, указанные в объявлении, и под предлогом трудоустройства просят заполнить анкету: указать ФИО, номер телефона, дату рождения, а также номер банковской карты якобы для перевода заработка. Деньги обещают перевести на карту сразу после завершения тестирования и предоставления видео или скриншотов, а также отчета о найденных ошибках.

После заполнения «анкеты» соискателю сразу же сообщают, что он принят и может приступить к выполнению первого задания. Под видом приложения для тестирования пользователю присылают АPK-файл. На самом деле это троян удаленного доступа (RAT), который позволяет злоумышленникам получить контроль над устройством жертвы и перехватывать все СМС и пуш-уведомления.

Чтобы убедить жертву установить вредоносный АPK-файл на устройство и выдать все запрашиваемые разрешения, мошенники убеждают соискателя, что его задача – тестировать приложение как обычный пользователь, в том числе проходить регистрацию и проверять функции. Также злоумышленники заранее предупреждают жертву, что при установке приложения антивирус может определять его как вредоносное.

Также мошенники инструктируют жертву, что после установки приложения необходимо ввести четырехзначный код и подождать около 30 минут якобы для постановки в очередь тестировщиков. На самом деле преступники сразу после установки вредоносного ПО получают возможность похитить деньги с банковских счетов пользователя. Полчаса ожидания необходимы злоумышленникам, чтобы жертва не заметила подозрительных финансовых операций и не заблокировала их.

Две скам-группы, которые используют эту схему с начала апреля 2025 года, похитили у жителей России более 14 миллионов рублей. От действий злоумышленников пострадали около тысячи пользователей, средняя сумма списания составила 14 624 рубля.

С начала 2025 года специалисты департамента Digital Risk Protection компании F6 обнаружили несколько новых схем мошенничества, связанных с трудоустройством. Например, мошенники выдавали себя за владельцев ПВЗ и размещали объявления о поиске сотрудников на пункты выдачи, а в переписке предлагали якобы для работы установить приложение, под которое маскировали Android-троян. А в марте 2025-го аналитики F6 впервые зафиксировали комбосхему, когда злоумышленники под предлогом фейкового трудоустройства угоняли телеграм-аккаунты и использовали их для автоматического распространения мошеннических ссылок на опрос от имени «Единой России». Пользователи, которые при переходе по этим ссылкам устанавливали фейковое приложение, тем самым предоставляли преступникам доступ к своим устройствам.

Рекомендации специалистов F6 для защиты от мошенничества с трудоустройством и фрилансом в ИТ:
при поиске вакансий помните, если зарплату выше рынка предлагает не известная крупная компания, то это один из отличительных признаков объявления от мошенников. Как правило, высокий доход предполагает столь же высокие требования к кандидату. Если в объявлении обещают высокую зарплату при низких требованиях или их отсутствии, это признак вероятного обмана;
не переходите по ссылкам от незнакомцев. Если знакомый контакт прислал ссылку, которую вы не просили, открывать ее также не стоит;
устанавливайте мобильные приложения только из официальных магазинов (обязательно проверяя правильность их доменных имен), от проверенных разработчиков и только в том случае, если точно знаете, для чего эти приложения вам нужны;
проверяйте разрешения, которые запрашивают мобильные приложения после установки. Если приложение требует дать ему разрешения, которые напрямую не связаны с заявленным функционалом (например, для чтения СМС и контактов), игнорируйте такие запросы, а еще лучше удалить такое приложение, чтобы исключить риск передачи конфиденциальной информации неизвестным без вашего ведома, и проверить устройство антивирусом;
если при установке приложения антивирус определяет его как вредоносное, отмените установку.