Рабочий день. Телефон пикает. В Telegram — сообщение от коллеги: «Посмотри, может, твой...» и прикреплённый файл. Ничего подозрительного — знакомое имя, привычный интерфейс. Женщина нажимает. Ничего не открывается. Ну и ладно, мало ли, интернет подвис, да и Telegram госорганы давно замедляют, обычная ситуация.
Через 40 минут её жизнь перевернулась с ног на голову.
Коллега здесь ни при чём — её взломали раньше
Та самая коллега даже не подозревала, что её Telegram уже давно чужой. Аккаунт угнали, и с него методично рассылали вредоносный файл по всем контактам. Файл выглядел как обычное медиавложение, только внимательный взгляд мог разглядеть расширение APK — это установочный пакет приложения для Android, никакое не видео.
Разрешение на установку из сторонних источников у большинства россиян давно включено — с 2022 года многие нормальные приложения, включая банковские, распространяются именно так. Предупреждение телефона «источник ненадёжный» люди научились игнорировать. Этим и пользуются мошенники.
Приложение с безобидным названием «Видеокамера онлайн» установилось тихо и сразу принялось за работу.
40 минут тишины — и ноль на всех счетах
Первым звоночком стало случайное push-уведомление от ВТБ — отказ в кредите на 55 000 рублей. Женщина насторожилась, полезла проверять счета. Сбербанк — ноль. ВТБ — ноль. Альфа — тоже ноль. Войти в Госуслуги не получается. СМС не приходят вообще никакие.
Муж пострадавшей Александр позднее рассказал, что происходило дальше:
«Она звонит в техподдержку: «Заблокируйте карты». Пытается зайти в Госуслуги — не может. По телефону дозвониться тоже не может. СМС вообще не проходят. Мы поехали в МФЦ, оттуда сразу в полицию. Уже пока ждали, что примут заявление, я говорю: давай посмотрим приложения. Нашли «Видеокамера онлайн» — остановили. И тут на её телефон сразу посыпались сообщения. Мама дорогая...»
Схема оказалась закрученной. Деньги утекали не напрямую — сначала со Сбербанка на ВТБ, чтобы собрать всё в одном месте. Потом — на кошелёк Wildberries, а уже оттуда в адрес некой компании в Казахстане. Концы спрятаны надёжно. Помимо опустошённых счетов, на имя женщины успели оформить два микрокредита — на 6 000 и на 49 500 рублей.
Это не единичный случай. Это эпидемия
История этой семьи — лишь одна из тысяч. За всем этим стоит троян с говорящим названием Mamont («Мамонт»), который прямо сейчас атакует Россию с новой силой.
В 2024 году вирус распространялся под видом трекеров доставки с маркетплейсов, в начале 2025-го пошёл в атаку с провокационным «Это ты на видео?», а в феврале 2026 года стартовала новая волна — теперь троян маскируется под «ускоритель Telegram».
По данным экспертов, к концу 2025 года на долю Mamont приходилось до 47% всех заражений Android-устройств в России, а число атакованных пользователей за год выросло почти в десять раз. В среднем одна жертва теряет около 30 000 рублей.
Механика везде одна и та же: взломанный аккаунт знакомого, безобидное сообщение, APK-файл под видом чего угодно — видео, трекера, VPN, ускорителя.
Как это работает изнутри — без лишних слов
Когда вредоносное приложение попадает на телефон, оно первым делом запрашивает доступ к СМС и push-уведомлениям. Именно туда приходят все коды подтверждения от банков и портала Госуслуг. Получив их, мошенники в режиме реального времени подтверждают переводы и оформляют кредиты — жертва об этом не знает ничего, потому что уведомления перехватываются и до неё не доходят.
Продвинутые версии таких программ используют функцию «Специальные возможности» (Accessibility Services). Соглашаясь дать приложению это разрешение, пользователь фактически передаёт управление телефоном посторонним. Пока хозяин спит, бот сам разблокирует экран, заходит в банк, вводит суммы, перехватывает код из СМС и тут же удаляет его — следов нет.
Telegram стал главным полем боя
По данным аналитиков компании F6, только за 2025 год одна русскоязычная хакерская группа угнала 887 тысяч аккаунтов Telegram — и таких группировок насчитывается не менее шести. Украденный аккаунт — это готовый инструмент для атаки на всех, кто доверяет его хозяину.
В феврале 2026 года «Лаборатория Касперского» зафиксировала ещё одну волну угона аккаунтов — теперь уже через встроенные в сам мессенджер приложения, собирающие коды входа. Схема не требует взлома или обхода шифрования — жертва сама, своими руками, даёт разрешение на доступ к своей учётной записи.
Что делать прямо сейчас
Семья из нашей истории поступила правильно: сразу в МФЦ, сразу в полицию, телефон — на экспертизу, кредитная история — срочно заказать, чтобы понять масштаб ущерба. После всего пережитого они сменили устройство — с Android на iPhone. По их словам, возвращаться не планируют.
Несколько простых правил, которые реально работают:
Никогда не открывать файлы с расширением APK, даже от знакомых — лучше позвоните и уточните голосом, что именно прислали. В настройках Android найдите пункт «Установка из неизвестных источников» и закройте его для всех мессенджеров. Включите двухфакторную аутентификацию в Telegram — это отдельный пароль, не привязанный к СМС, и он существенно осложняет угон аккаунта. Если вдруг перестали приходить СМС от банков — не ждите, сразу блокируйте карты и звоните в поддержку.
И главное: предупредите близких. Особенно тех, кто привык нажимать «Да» на любое уведомление телефона, не задумываясь.
А у вас или ваших знакомых бывали похожие ситуации — получали подозрительные файлы от друзей или коллег? Как вы поступали?