Опасный троянец нашли в играх 18+

Весной 2026 года эксперты Kaspersky GReAT обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяли ранее неизвестный троянец удалённого доступа Argamal под видом игр 18+. Вредоносное ПО было обнаружено на устройствах сотен пользователей в России, Бразилии, Германии, Вьетнаме и других странах. После заражения троянец предоставляет злоумышленникам полный контроль над устройством жертвы, позволяя выполнять удаленные команды, похищать данные и осуществлять другие вредоносные действия. 

Пользователь скачивает архив с зараженной игрой. При ее запуске на устройство устанавливается ранее неизвестный вредоносный модуль. Выждав несколько дней, он загружает и запускает дополнительный троянец, что приводит к полной компрометации системы и дает злоумышленникам широкие возможности удаленного управления устройством жертвы. В зависимости от полученных команд Argamal может выполнять произвольные действия на заражённом устройстве: делать скриншоты, управлять курсором, архивировать файлы и отправлять их на серверы злоумышленников, а также перезагружать или выключать систему.

Эксперты компании обнаружили несколько сайтов, на которых были опубликованы скриншоты игр вместе со ссылками для скачивания, перенаправлявшими пользователей на PixelDrain — бесплатный файлообменник, который нередко используется злоумышленниками для распространения вредоносного ПО. Также зараженные игры распространялись через торрент-трекеры.

В некоторых случаях вредоносный код встраивался непосредственно в файлы игры и загружался через модифицированные компоненты, входящие в её состав. В другом случае вредоносный файл был замаскирован под чит для игры, который распространялся через геймерский форум.

«Злоумышленники регулярно используют контент, связанный с играми, и неофициальные площадки для распространения вредоносных программ, зная, что многие скачивают файлы из непроверенных источников. В ходе нашего анализа мы наблюдали, как вредоносная программа активно обновлялась, приобретая новые функции и претерпевая изменения в инфраструктуре. Это свидетельствует о том, что кампания продолжается и, вероятно, будет развиваться дальше. Сегодня создание вредоносного ПО значительно упростилось благодаря широкой доступности подробных руководств, инструментов и средств автоматизации, поэтому мы рекомендуем скачивать любые программы только из официальных источников», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT.

Основываясь на технической информации и комментариях в коде, исследователи с умеренной степенью уверенности предполагают, что разработчики этой вредоносной цепочки могут быть испаноговорящими.

Фото из открытых источников