Волк в овечьей шкуре: как мошенники маскируют опасные программы под VPN-сервисы

В последнее время под видом бесплатных VPN распространяются мошеннические программы, которые крадут личные данные пользователей. Злоумышленники используют полученную информацию для получения микрозаймов, кражи аккаунтов и тайного майнинга криптовалют. Рассказываем, как вредоносное ПО маскируется под VPN-сервисы, кто и где его распространяет и как защитить ваши личные данные и финансы.

VPN (от англ. Virtual Private Network) — технология, создающая зашифрованный туннель между устройством пользователя и Интернетом. Изначально решение разрабатывалось для корпоративного сектора как инструмент защиты данных. Позже технология стала популярной среди обычных пользователей.

Службы VPN шифруют трафик, скрывая реальный IP-адрес и заменяя его адресом VPN-сервера. Это не позволяет вашему интернет-провайдеру видеть, какие сайты вы посещаете. Это также предотвращает перехват данных третьими лицами: логины, пароли, платежные реквизиты, особенно при работе с публичными сетями Wi-Fi.

Пользователи привыкли доверять таким приложениям, особенно скачанным из официальных магазинов. Но, как предупреждает портал кибербезопасности «Кибрарий», не все из них безопасны. Чтобы эффективно скрыть ваш трафик, VPNполностью контролирует его. Кибермошенники пользуются этой возможностью, выдавая собственные вредоносные программы за полезные сервисы — VPN и расширения для браузеров.

Схемы кражи данных с использованием VPN

Спящий шпион

Преступники загружают в официальный магазин приложений безвредную версию программы или расширения. Оно модерируется, так как не содержит вредоносного кода. Через некоторое время после установки приложение предлагает пользователю установить обновление, обычно через всплывающее окно, имитирующее системное уведомление. Недавно скачанный файл превращает утилиту в шпиона: программа начинает перехватывать СМС, делать скриншоты, читать push-уведомления от банков и воровать личные данные.

Схема обновления в основном работает на устройствах под управлением Android, Windows и Linux. Эти платформы позволяют устанавливать приложения и обновления не только из официальных магазинов, но и из сторонних источников, например, скачивая установочные файлы с сайтов. Пользователь несет ответственность за безопасность таких файлов, чем и пользуются злоумышленники.

Система iOS (на устройствах iPhone и iPad) работает иначе: ее закрытая модель безопасности не позволяет устанавливать приложения вне App Store и строго изолирует загруженные файлы от личных данных на устройстве.

В 2025 году исследователи Koi Security обнаружили, что популярное расширение FreeVPN.One для Google Chrome является шпионским ПО, несмотря на флажок «проверено». Более 100 тысяч пользователей установили его из официального интернет-магазина Chrome. Инструмент делал скриншоты экранов и отправлял их на удаленный сервер вместе с данными о трафике.

Скрытый пользователь

Преступники рассылают ссылки на якобы полезные VPN-сервисы в мессенджерах и социальных сетях. При нажатии на такую ​​ссылку происходит автоматическая загрузка вредоносного файла на устройство.

Система отправляет пользователя в раздел настроек для ручного подтверждения установки из неизвестного источника и предоставления доступа к разделу «Специальные возможности». Как только вы дадите разрешение, мошенники мгновенно получат полный доступ к информации на устройстве. Украденные персональные данные могут быть использованы для получения микрозаймов от имени жертвы.

Угроза на YouTube

Старший эксперт Kaspersky GReAT Леонид Безвершенко в разговоре с Rambler рассказал о двух мошеннических схемах продвижения фейковых VPN через крупнейший видеохостинг YouTube.

Первая схема — распространение скрытого майнера для компьютеров через блоггеров. Кампания по продвижению программы под видом инструментов для обхода блокировок была обнаружена в марте 2025 года, поделился Безвершенко. Злоумышленники использовали YouTube-блогеров для распространения вредоносных файлов, обманом заставляя их публиковать нужные ссылки.

Диаграмма выглядела примерно так:

Мошенники рассылали жалобы (страйки) о нарушении авторских прав на видеоролики об инструментах обхода блокировки, выдавая себя за разработчиков этих сервисов.

Под угрозой блокировки или удаления канала за нарушения злоумышленники потребовали от блоггеров размещать ссылки на «полезные сервисы» в описании своих видео.

Фактически по этим ссылкам были скачаны вредоносные файлы. При их загрузке на устройство пользователя устанавливался SilentCryptoMiner – скрытый майнер, использующий вычислительные ресурсы зараженных компьютеров для добычи различных криптовалют.

С конца февраля 2026 года мошенники распространяют через YouTube-каналы две вредоносные программы:Arcane Stealer (воровская программа) и майнер Monero. Стилер способен похищать логины и пароли, данные из браузеров, платежную информацию, а также собирать системные данные и делать снимки экрана.

Мошенническое программное обеспечение маскируется под несуществующий инструмент для обхода блокировок FixIt. В описании к видео есть ссылка на сайт фейкового сервиса. Чтобы повысить доверие к ресурсу, мошенники разместили не только кнопку скачивания архива с якобы полезной утилитой, но и ссылку на чат поддержки в Telegram.

Основная целевая аудитория этой схемы — геймеры. К апрелю было записано не менее 20 видеороликов с подобной рекламой. Совокупное количество просмотров этих видеороликов составляет десятки тысяч. Как защитить ваши данные

Леонид Безвершенкостарший эксперт, Kaspersky GReAT

Как защитить ваши данные

Портал кибербезопасности Cibrary называет основные принципы безопасного использования VPN-сервисов. Нарушение их – прямой путь к утечке паролей, краже денег с карт, выдаче кредитов на ваше имя.

Правила цифровой гигиены при использовании VPN:

Не скачивайте приложения по ссылкам из рекламы и других непроверенных источников, включая мессенджеры и результаты поиска.

Проверьте все разрешения, запрошенные во время установки, особенно доступ к уведомлениям и специальные возможности.

Регулярно просматривайте список установленных расширений и приложений в вашем браузере и устройстве. Удалите все ненужное и подозрительное.

Будьте осторожны с бесплатными VPN. Даже если такая программа сама по себе не является вредоносной, ее создатели могут заработать на продаже ваших данных, ведь сами VPN не приносят им прибыли.

Включите двухфакторную аутентификацию (2FA) в банковских приложениях, госуслугах и почте. Даже если злоумышленники украдут ваши пароли через вредоносный VPN, без подтверждения с вашего телефона они не смогут войти в ваши аккаунты или выдать вам кредит.

Что нужно знать о мошенничестве через VPN-сервисы

По умолчанию VPN получают полный контроль над вашим трафиком. Это опасно. Злоумышленники могут украсть логины, пароли, данные карт, перехватить СМС и даже выдать микрозаймы на ваше имя.

Чтобы не пострадать от кибермошенничества, скачивайте программы только из официальных магазинов приложений. Не переходите по ссылкам из рекламы и мессенджеров. Проверьте, какие разрешения запрашивает программа: доступ к уведомлениям и «Специальным возможностям» — повод насторожиться. Регулярно удаляйте неиспользуемые расширения браузера.

Обещают доход и личную поддержку: как распознать инвестиционное мошенничество