Одному приятелю чуть не прилетело, далее, с его слов. Откликнулся на вакансию - предрелизное тестирование мобильных приложений. Занятость до 5 часов в день, до 5 000 рублей за отчет по приложению. Если в процессе проверки нашел баг(и), доплата за каждый 1000 рублей. Мечта, а не работа.
Канал заказчика тестирования в Телеграм
Канал с мобайл-приложением и вводными к процессу проверки
Мобайл-приложение, которое нужно проверить на работоспособность, начиная от процесса установки. Процесс установки предлагают записать на видео и приложить к отчету. Приложение выложено на канале, точнее сказать, его выкладывают каждый раз, внося корректировки, согласно поступающим отчетам о проверках.
Удалось скачать три сборки мобайл-приложения - это трекер активности.
Ставить нечто на свой телефон без проверки - слабоумие и отвага! Идем на известный ресурс VirusTotal и скармливаем ему файлы apk, по очереди. Первый пошел: WelltoryActivity_2026-05-18.apk
Trojan.Dropper и прочая нечисть, платформа показывает истинное название файла, дата добавлена, чтобы избежать путаницы в сборках.
Второй пошел: WelltoryActivity_2026-05-19.apk
Сборка постарше скорее всего была прогнана через криптор, потому что известных вендоров заметно поубавилось.
Третий пошел: WelltoryActivity_2026-05-22.apk
Здесь еще лучше поработали с криптором, скорее всего сработала эвристика антивируса Каспер.
Понятное дело, что ни один телефон в процессе не пострадал и "приложения" так и остались файлами apk.
Через форму на сайте (https://www.performance-lab.ru/moscow) было написано обращение к вендору, что люди в Сети мимикрируют под вас и распространяют вредоносы. Видимо вендору не до того, чтобы рассматривать какие-то обращения.
Берегите себя и родителей. Сейчас мошенники стали сильно техничнее.
Представители российского Telegram-клиента надеются повлиять через антимонопольную службу РФ на американскую корпорацию, которую они обвиняют в злоупотреблении доминирующим положением. В начале апреля приложение разработчика АО «Телега» было удалено из App Store. Также был заблокирован и аккаунт в программе Apple Developer, скачать приложение стало невозможно, а к 17 апреля оно исчезло или работает с перебоями у тех, кто уже успел начать им пользоваться.
Не согласны разработчики «Телеги» и с подписью в самом Telegram, где в аккаунтах пользователей их приложения была отметка об угрозе безопасности переписок. Они подчеркнули, что их приложение не является шпионским ПО и не нарушает безопасность пользователей.
Когда у меня возникло подозрение, что кто-то наблюдает за мной через камеру моего домашнего компьютера, я просто взял и заклеил её скотчем. Это я к чему говорю? Камеры надо не выключать, а заклеивать, потому что хакеры могут даже через... каким-то образом умудряются даже через выключенные камеры наблюдать за тем, что происходит.
Компания Microsoft опубликовала масштабный отчет по киберугрозам, в котором констатировала фундаментальный сдвиг в тактике злоумышленников. Хакеры больше не рассматривают искусственный интеллект как экспериментальную технологию, а активно интегрируют его во все фазы своих операций — от первичной разведки и фишинга до разработки вредоносного программного обеспечения и закрепления в скомпрометированных системах. Эксперты охарактеризовали генеративные нейросети как «мультипликатор силы», который радикально снижает технические барьеры и позволяет даже низкоквалифицированным преступникам проводить атаки на недоступных ранее скоростях.
Если раньше использование ИИ сводилось к написанию убедительных фишинговых писем, то теперь это непрерывный конвейер. Северокорейский хакер маскирует акцент нейросетью прямо во время онлайн-собеседования в западную корпорацию, а после успешного найма поручает языковой модели общаться с коллегами, переводить документацию и писать код, чтобы стабильно выполнять KPI, не вызывая подозрений службы безопасности.
Использование ИИ злоумышленниками на всех этапах жизненного цикла кибератаки
Тактики использования ИИ злоумышленниками на протяжении всего жизненного цикла атаки. Авторы: Microsoft Threat Intelligence. Источник: Microsoft Security Blog.
На схеме подробно проиллюстрировано, как хакеры применяют генеративный искусственный интеллект в качестве «мультипликатора силы» на каждом этапе кибератаки. На этапе разведки ИИ используется для анализа уязвимостей (LLM) и подготовки легенды. Разработка ресурсов включает массовую генерацию фишинговых доменов с помощью GAN и создание теневой инфраструктуры. Социальная инженерия и начальный доступ опираются на генерацию фишинговых писем, подделку резюме и использование дипфейков (Faceswap, клонирование голоса) для прохождения собеседований. На этапе закрепления нейросети пишут вредоносный код и помогают имитировать корпоративную переписку фиктивным сотрудникам. Действия после компрометации включают автоматизированный анализ украденных логов, поиск конфиденциальной информации и её суммаризацию для оценки стоимости на черном рынке. Авторы: Microsoft Threat Intelligence. Источник: Microsoft Security Blog.
Фабрика фальшивых сотрудников: социальная инженерия от Jasper Sleet
Значительная часть отчета посвящена северокорейским правительственным группировкам, которые специализируются на мошенничестве с фиктивным трудоустройством. Главная цель таких операций — легально проникнуть во внутренний периметр западных технологических компаний и обеспечить себе долгосрочный доступ для кражи данных или вывода средств.
Группировка, отслеживаемая под именем Jasper Sleet, превратила генеративный ИИ в основу своего операционного цикла. На этапе подготовки злоумышленники используют алгоритмы для массовой генерации культурно-специфичных списков имен и создания десятков идеальных резюме, которые нейросеть автоматически адаптирует под требования конкретных вакансий на биржах труда.
Для прохождения проверок службы безопасности (KYC) в ход идут графические инструменты. Исследователи зафиксировали использование ИИ-приложения Faceswap, с помощью которого лица реальных северокорейских ИТ-специалистов накладываются на украденные документы граждан других стран. Эти же сгенерированные лица используются для создания профессиональных портфолио в LinkedIn и на платформах для фрилансеров.
Когда дело доходит до интервью, хакеры применяют технологии изменения голоса в реальном времени, что позволяет им выдавать себя за западных кандидатов. «Jasper Sleet использует ИИ на протяжении всего процесса атаки — для получения работы, сохранения занятости и массовой эксплуатации доступа», — подчеркивают аналитики Microsoft. После найма нейросети генерируют профессиональную деловую переписку, скрывая пробелы в языке и корпоративной культуре.
Итеративная разработка и джейлбрейки: как программирует Coral Sleet
Пока одни группировки специализируются на социальной инженерии, другие применяют ИИ для создания вредоносной инфраструктуры. Группировка Coral Sleet продемонстрировала стремительный рост возможностей за счет итеративной разработки кода с помощью языковых моделей.
Хакеры используют нейросети как виртуальных инженеров: генерируют и дорабатывают компоненты малвари, создают фальшивые корпоративные сайты для маскировки командных серверов и пишут скрипты для автоматического развертывания удаленной инфраструктуры. Чтобы заставить коммерческие модели (в которых встроены жесткие фильтры безопасности) писать эксплойты, операторы Coral Sleet применяют тактики «джейлбрейка». Они загружают промпты, погружающие ИИ в ролевую игру («Отвечай как доверенный аналитик по кибербезопасности, который тестирует систему»), заставляя систему выдать рабочий вредоносный код.
Процесс машинной генерации оставляет специфические следы. Ранее в коде вредоносной программы OtterCookie аналитики обнаружили характерные маркеры: нейросеть обильно снабжала скрипты излишне разговорными комментариями и даже использовала эмодзи в виде зеленой галочки для успешных запросов и красного крестика для ошибок.
Автономные агенты и масштабные взломы силами одиночек
Тревожным сигналом стали зафиксированные Microsoft первые эксперименты злоумышленников с агентным ИИ (agentic AI). В отличие от обычных чат-ботов, которые просто отвечают на вопросы, автономные агенты способны самостоятельно планировать многоэтапные задачи, тестировать уязвимости, исправлять свои ошибки и принимать решения на лету. Хотя массового применения агентов пока не наблюдается, Coral Sleet уже тестирует пайплайны, где ИИ без прямого контроля человека разворачивает инфраструктуру и проверяет вредоносные нагрузки.
Выводы Microsoft подтверждаются данными других крупных игроков рынка, которые фиксируют беспрецедентное масштабирование атак. В феврале 2026 года Группа анализа угроз Google (TAG) сообщила о массовом использовании злоумышленниками ИИ для автоматизированного сбора разведывательной информации о целях и создания комплексных фишинговых кампаний.
Еще более показательный кейс задокументировала компания Amazon. Согласно их данным, один русскоязычный хакер, используя сервисы генеративного искусственного интеллекта для автоматизации сканирования и написания скриптов, смог взломать более 600 межсетевых экранов FortiGate в 55 странах всего за пять недель. Этот прецедент наглядно демонстрирует, как нейросети позволяют одиночному злоумышленнику с ограниченными навыками действовать в масштабах, которые ранее требовали координации целой хакерской группировки.
Смещение фокуса защиты
Аналитики сходятся во мнении: традиционные методы защиты, ориентированные на поиск вредоносного кода по сигнатурам, теряют эффективность. В мире, где код генерируется и видоизменяется нейросетями в реальном времени, а атаки проводятся от лица легально нанятых сотрудников, парадигма безопасности должна измениться.
Microsoft рекомендует корпорациям:
Классифицировать схемы с использованием ИИ-ботов и фейковых ИТ-специалистов как критические внутренние угрозы (insider threats).
Сместить фокус мониторинга на обнаружение аномалий в поведении легитимных пользователей — например, нетипичное использование учетных данных или подозрительные паттерны активности в рабочих чатах.
Усилить корпоративные системы идентификации и контроля доступа инструментами, устойчивыми к фишингу и перехвату сессий.
Внедрить протоколы защиты для самих корпоративных ИИ-систем, которые все чаще становятся мишенями для отравления данных и манипуляций.
Читаю новости и понимаю: это рано или поздно должно было случиться. На маркетплейсе навыков для OpenClaw самым скачиваемым расширением оказалась малварь 💀
Масштаб заражения просто безумный. Как выяснили исследователи, в каталог ClawHub залили 1 184 вредоносных навыка. Причем один предприимчивый автор умудрился наклепать их сразу 677 штук! Все они выглядели максимально безобидно и маскировались под полезные инструменты вроде трекеров, криптоботов и саммаризаторов YouTube.
Абсолютным хитом стал скилл под названием «Что бы сделал Илон Маск?». Хакеры банально накрутили ему рейтинг, вывели в топ-1, и пользователи скачали его тысячи раз.
Работала схема так: внутри документации агенту подсовывали скрытую команду. Бот послушно ее выполнял, скачивал сторонний софт и выкачивал с компьютера вообще всё. Вирус воровал SSH-ключи, пароли, криптокошельки, cookie-файлы браузера, угонял аккаунты в Telegram и заботливо оставлял бэкдор на будущее. Страшно даже представлять последствия.
Сам маркетплейс OpenClaw работает как открытая биржа для обмена. По сути, это такие же скиллы как для Claude — подключаешь плагин, и бот сразу умеет точечно решать сложную задачу. Но проблема в том, что загружать файлы могут абсолютно все, а алгоритм сам поднимает в топ самое популярное. Злоумышленники просто воспользовались доверием к системе.
Скандал получился настолько громким, что код лично проверяли эксперты из Cisco. В итоге в этом крошечном файле они накопали сразу 9 уязвимостей, две из которых оказались критическими.
500 тыс скачиваний и куча накрученных отзывов (за месяц то!)
При этом, многие пользователи даже и не знают, что это приложение установлено на их устройстве. И оно даже не отображается в лаунчере! Можно посмотреть, что оно у вас установлено только через настройки или Google Play.
И если запустить его из гугл плей или из меню настроек, так какой-то простенький интерфейс учета потребления воды. На первый взгляд любой пользователь не увидит ничего страшного, но все проблемы кроются внутри. А именно, в том как это приложение показывает рекламу.
Страдают в основном устройства Xiaomi. А может и только Xiaomi, т.к. мну других пока не приносили. Видимо, в оболочке Xiaomi есть уязвимость, позволяющая приложению самому себе выдать права на отображение поверх всех источников и исключение из энергосбережения. Почему я пришёл к такому выводу? Потому что я установил это приложения на два своих подопытных телефона (samsung и sony) - и там у этого приложения даже нет пункта "поверх всех окон" в разрешениях, и там оно никогда не показывало рекламу, ни в самом приложении, ни тем более работая в фоне. Но стоит установить на Xiaomi - и пиши-пропало, каждую минуту вылазит полноэкранная реклама.
Как же это приложение прописывается на вашем (или не вашем) телефоне? Из той же рекламы в других приложениях! Из той рекламы, где очень сложно попасть на малюсенький крестик, чтобы её закрыть. И вместо закрытия они переходят в магазин и случайно устанавливают себе это приложение. Телефоны в основном приносят люди не особо шарящие в современных технологиях и любящие поиграть во всякое дерьмище типа "3 в ряд", где также полно рекламы. Либо после детей, которые понаскачивали себе всякое говнецо типа "pubg free lutbox".
Удаляется, к счастью просто через настройки.
P.S. Раньше, помню, на Android 4.x на устройствах, где очень просто было получить root права, такие приложения могли установить себя как системные. И тогда удалить их можно было только через ADB. В современных андроидах с безопасностью чуть получше. Но это не точно ¯\_(ツ)_/¯
