$71.2182.54
Материал создан совместно сSberZashita

Волк в овечьей шкуре: как мошенники маскируют опасные программы под VPN-сервисы

Марина Стрельникова
Леонид Безвершенкоэксперт

В последнее время под видом бесплатных VPN распространяются мошеннические программы, которые крадут личные данные пользователей. Полученную информацию используют для оформления микрозаймов, кражи аккаунтов и скрытого майнинга криптовалют. Рассказываем, как злоумышленники маскируют вредоносные программы под VPN-сервисы, кто и где их распространяет и как защитить свои личные данные и финансы.

Волк в овечьей шкуре: как мошенники маскируют опасные программы под VPN-сервисы
© AndreyPopov/iStock.com

Что такое VPN

VPN (от англ. virtual private network — «виртуальная частная сеть») — это технология, создающая зашифрованный туннель между устройством пользователя и интернетом. Изначально решение разрабатывалось для корпоративного сектора как инструмент защиты данных. Позже технология стала популярна среди обычных пользователей.

VPN-сервисы шифруют трафик, скрывая реальный IP-адрес и заменяя его адресом VPN-сервера. Благодаря этому ваш провайдер не видит, какие сайты вы посещаете. Также это мешает третьим лицам перехватить данные: логины, пароли, платёжные реквизиты, особенно при работе с публичными Wi-Fi-сетями.

Пользователи привыкли доверять таким приложениям, особенно скачанным из официальных магазинов. Но, как предупреждает портал по кибербезопасности «Кибрарий», не все они безопасны. Использовать бесплатные VPN-сервисы и браузерные расширения нужно с осторожностью.

Две угрозы от мошеннических VPN: перехват трафика и маскировка вредоносного ПО

Кибермошенники атакуют пользователей виртуальных частных сетей по двум направлениям. Во-первых, распространяя бесплатные VPN, которые крадут ваши данные. Чтобы эффективно скрывать трафик, любой VPN получает полный контроль над ним. Если разработчик такой программы является мошенником, он сможет похитить ваши персональные данные, перехватив маскируемые данные.

Чем это опасно на практике:

  • Перехват паролей и логинов. Когда вы вводите пароль от почты, соцсетей или онлайн-банка, мошеннический VPN отправляет эти данные своим владельцам.
  • Подмена страниц. Вас могут перенаправить на поддельный сайт банка, внешне неотличимый от настоящего. Введённые данные уходят мошенникам.
  • Кража платёжной информации. Если вы оплачиваете покупки в интернете, злоумышленники могут перехватить данные вашей карты.

Особенно опасны бесплатные VPN. Затраты на серверы нужно как-то окупать. Добросовестные сервисы показывают рекламу. Мошеннические — продают ваш трафик или крадут данные напрямую.

Во-вторых, под видом VPN распространяются вредоносные программы, которые на самом деле не имеют к технологии никакого отношения: различные вирусы, софт для скрытого майнинга криптовалют, утилиты для слежки за экраном устройства и тому подобное.

Злоумышленники просто используют популярность инструментов для обхода блокировок, чтобы убедить вас скачать и установить вредоносную программу. Точно так же они могли бы замаскировать вирус под игру, антивирус или клиент мессенджера.

Три популярные схемы кражи данных

Спящий шпион

Злоумышленники загружают в официальный магазин приложений безобидную версию программы или расширения. Она проходит модерацию, поскольку не содержит вредоносного кода. Через некоторое время после установки приложение предлагает пользователю обновление — обычно через всплывающее окно, имитирующее системное уведомление.

Нюанс в том, что это обновление скачивается уже не с официальной площадки, а со стороннего сайта, который контролируют мошенники. Вновь загруженный файл превращает утилиту в шпиона: программа начинает перехватывать СМС, делать скриншоты экрана, читать пуш-уведомления от банков и красть личные данные.

Схема с обновлением преимущественно работает на устройствах с Android, Windows и Linux. Эти платформы позволяют устанавливать обновления не только из официальных магазинов, но и из сторонних источников. Пользователь сам отвечает за безопасность таких файлов, чем и пользуются злоумышленники.

У системы iOS (на устройствах iPhone и iPad) другой принцип работы: её закрытая модель безопасности не разрешает устанавливать приложения вне App Store и строго изолирует скачанные файлы от личных данных на устройстве.

В 2025 году исследователи Koi Security обнаружили, что популярное расширение FreeVPN.One для Google Chrome было шпионским, несмотря на галочку «верифицировано». Более 100 тысяч пользователей установили его из официального Chrome Web Store. Инструмент делал скриншоты экранов и отправлял их на удалённый сервер вместе с данными о трафике.

Скрытый пользователь

Злоумышленники рассылают в мессенджерах и социальных сетях ссылки на якобы полезный VPN-сервис. Переход по такой ссылке запускает автоматическую загрузку вредоносного файла на устройство.

Система отправляет пользователя в раздел настроек для ручного подтверждения установки из неизвестного источника и предоставления доступа к разделу «Специальные возможности». Стоит дать разрешение — и мошенники мгновенно получают полный доступ к информации на устройстве. Украденные личные данные могут использовать для оформления микрозаймов от лица жертвы.

Угроза на YouTube

Старший эксперт Kaspersky GReAT Леонид Безвершенко в беседе с «Рамблером» рассказал о двух мошеннических схемах с продвижением мошеннического софта под видом VPN через крупнейший видеохостинг YouTube.

Первая схема — распространение скрытого майнера для компьютеров через блогеров. Кампанию по продвижению программы под видом инструментов для обхода блокировок выявили в марте 2025 года, поделился Безвершенко. Злоумышленники использовали YouTube-блогеров для распространения вредоносных файлов, обманом заставляя их публиковать нужные ссылки.

Схема выглядела примерно так:

  • Мошенники отправляли жалобы (страйки) о нарушении авторских прав на видео об инструментах для обхода блокировок, выдавая себя за разработчиков этих сервисов.
  • Под угрозой блокировки или удаления канала за нарушения злоумышленники требовали от блогеров разместить в описании роликов ссылки на «полезные сервисы».

На самом деле по этим ссылкам скачивались вредоносные файлы. При их загрузке на устройство пользователя устанавливался SilentCryptoMiner — скрытый майнер, использующий вычислительные ресурсы заражённых компьютеров для добычи различных криптовалют.

С конца февраля 2026 года мошенники распространяют через YouTube-каналы сразу две вредоносные программы — стилер Arcane (программа-вор) и майнер Monero. Стилер способен похищать логины и пароли, данные из браузеров, платёжную информацию, а также собирать системные данные и делать скриншоты экрана.

Мошеннический софт маскируется под несуществующий инструмент для обхода блокировок FixIt. В описании к видео даётся ссылка на сайт фейкового сервиса. Чтобы повысить доверие к ресурсу, мошенники разместили не только кнопку загрузки архива с якобы полезной утилитой, но и ссылку на чат поддержки в Телеграм.

Основной целевой аудиторией этой схемы выступают геймеры. К апрелю было зафиксировано как минимум 20 видеороликов с подобной рекламой. Совокупное число просмотров этих видео составляет десятки тысяч. Как защитить свои данные

Леонид Безвершенко
Леонид Безвершенкостарший эксперт Kaspersky GReAT

Как защитить свои данные

На портале по кибербезопасности «Кибрарий» названы главные принципы безопасного использования VPN-сервисов. Их нарушение — прямой путь к утечке паролей, краже денег с карт и оформлению кредитов на ваше имя.

Правила цифровой гигиены при использовании VPN:

  • Не скачивайте VPN по ссылкам из рекламы и других непроверенных источников, включая мессенджеры и поисковую выдачу.
  • Помните, что даже в официальных магазинах приложений могут оказаться вредоносные программы, поэтому обязательно читайте отзывы о том, что собираетесь установить. Поинтересуйтесь, что пишут о приложении на ресурсах по кибербезопасности.
  • Проверяйте все запрашиваемые при установке разрешения. Если VPN хочет читать ваши СМС, уведомления или иметь доступ к «Специальным возможностям» — это повод насторожиться.
  • Регулярно просматривайте список установленных расширений и приложений в браузере и на устройстве. Удаляйте всё лишнее и подозрительное.
  • Будьте осторожны с бесплатными VPN. Даже если сама по себе такая программа не вредоносна, её создатели могут зарабатывать на продаже ваших данных, ведь сами VPN прибыли им не приносят. Безопаснее использовать платные VPN от проверенных провайдеров.
  • Включите двухфакторную аутентификацию (2FA) в банковских приложениях, на Госуслугах и в почте. Даже если злоумышленники украдут ваши пароли через вредоносный VPN, без подтверждения с телефона они не смогут войти в аккаунты или оформить на вас кредит.
  • Если VPN не нужен вам для повседневных задач, не включайте его без необходимости. Чем реже он активен, тем меньше риск утечки данных.

Что нужно знать про мошенничество через VPN-сервисы

С использованием VPN связаны две принципиально разные угрозы. Первая — мошеннические сервисы, которые перехватывают ваш трафик: видят, какие сайты вы открываете, крадут пароли, данные карт и подменяют страницы банков. Вторая — под видом VPN распространяются вредоносные программы, которые не имеют к технологии никакого отношения: стилеры, майнеры, программы-шпионы.

Чтобы избежать обеих угроз, не скачивайте VPN по ссылкам из рекламы, соцсетей и мессенджеров. Используйте только официальные магазины приложений, но помните: даже там могут оказаться вредоносные программы. Проверяйте, какие разрешения запрашивает программа: доступ к СМС, уведомлениям и «Специальным возможностям» — повод насторожиться. Регулярно удаляйте неиспользуемые расширения браузера.

Включите двухфакторную аутентификацию везде, где это возможно. Если VPN не нужен для повседневных задач — не включайте его без необходимости. А если пользуетесь им часто, выбирайте платные сервисы от проверенных провайдеров.

Обещают доход и личное сопровождение: как распознать инвестиционный обман