Вирусная активность для мобильных устройств в I квартале 2026: отчет «Доктор Веб»
В I квартале 2026 года, по данным Dr.Web Security Space для мобильных устройств, зафиксирован спад активности вредоносных программ Android.MobiDash и Android.HiddenAds, которые показывают навязчивую рекламу. Их детектирование на защищаемых устройствах снизилось на 32,70% и 7,09% соответственно по сравнению с предыдущим кварталом. В результате эти угрозы уступили первое место банковским троянам семейства Android.Banker, чья активность за три месяца выросла более чем в 2,5 раза, сделав их самой распространённой Android-угрозой. Подобные приложения перехватывают СМС с кодами подтверждения, выводят фишинговые окна и могут имитировать интерфейс настоящих банковских программ для кражи личных данных. Чаще всего пользователи сталкивались с представителями подсемейства Android.Banker.Mamont, объединяющего различные модификации таких троянов
Широкое распространение (15,35% от общего числа детектирований) в I квартале получили приложения, в которые при помощи хакерских инструментов для моддинга NP Manager добавлен мусорный код с целью запутывания логики. C осени прошлого года эти инструменты активно используются в троянах семейства Android.Banker.Mamont для противодействия обнаружению антивирусами, поэтому мы предупреждаем о том, что то или иное приложение было модифицировано. Подобные программы антивирусные продукты Dr.Web детектируют как Tool.Obfuscator.TrashCode.
Другим распространенным потенциально опасным ПО, несмотря на снижение числа детектирований на 31,65%, вновь стали программы, модифицированные при помощи утилиты NP Manager (детектируются Dr.Web как Tool.NPMod). Данная утилита содержит различные модули для защиты и обфускации кода программ, а также обхода проверки их цифровой подписи после модификации. Киберпреступники используют ее для защиты вредоносного ПО с целью затруднить его обнаружение антивирусами.
Самыми распространенными нежелательными приложениями стали поддельные антивирусы Program.FakeAntiVirus, которые якобы обнаруживают угрозы и для их «лечения» требуют приобрести полную версию. Кроме того, пользователи вновь сталкивались с программами из семейств Program.FakeMoney и Program.CloudInject. Первые якобы позволяют зарабатывать на выполнении различных заданий. Вторые представляют собой ПО, модифицированное через облачный сервис CloudInject. С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать.
Среди рекламного ПО лидерами по числу детектирований стали программы-оптимизаторы Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы. Их целью является демонстрация рекламы во время «оптимизации». Другим популярным рекламным ПО были приложения Adware.Opensite.15, которые злоумышленники выдают за чит-инструменты для получения ресурсов в играх. На самом деле такие программы загружают различные сайты с объявлениями. Распространение вновь получили и программы со встроенными рекламными модулями Adware.AdPush.
В январе компания «Доктор Веб» проинформировала пользователей об Android.Phantom — новом семействе троянских приложений-кликеров. Наши вирусные аналитики выявили несколько источников распространения этих вредоносных программ. Среди них — официальный каталог приложений для устройств Xiaomi GetApps, где трояны были внедрены в ряд игр. Кроме того, киберпреступники распространяли кликеры вместе с модами популярных приложений через различные Telegram-каналы, серверы Discord, онлайн-сборники ПО и вредоносные сайты.
С помощью Android.Phantom злоумышленники накручивают рекламные клики на веб-сайтах, применяя для этого технологии машинного обучения и WebRTC — технологию передачи потоковых данных (в том числе видео) через браузер. Трояны загружают в невидимом WebView целевые интернет-ресурсы вместе с JavaScript-кодом для симуляции действий пользователя. Взаимодействие с объявлениями происходит в одном из двух режимов. Если на устройстве возможно использование WebRTC, кликеры Android.Phantom транслируют злоумышленникам виртуальный экран с загруженным сайтом, и те управляют им вручную или с использованием автоматизированной системы.
Если WebRTC недоступен, применяются автоматизированные сценарии на языке JavaScript, которые используют фреймворк TensorFlowJS. Кликеры скачивают с удаленного сервера необходимую поведенческую модель, а также JavaScript, содержащий сам фреймворк и все необходимые функции для работы модели и взаимодействия с целевыми сайтами.
В течение I квартала антивирусная лаборатория компании «Доктор Веб» зафиксировала появление новых угроз в каталоге Google Play. Среди них — множество троянских приложений Android.Joker, а также вредоносные программы Android.Subscription.23 и Android.Subscription.24. Все они созданы для подписки пользователей на платные услуги.
Главные тенденции I квартала
🔸Банковские трояны Android.Banker стали самыми распространенными Android-угрозами
🔸Злоумышленники стали чаще использовать инструменты для моддинга Android-программ с целью защиты банковских троянов
🔸Продолжилось снижение активности рекламных троянов Android.MobiDash и Android.HiddenAds
🔸Распространение троянских приложений Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
🔸Обнаружены новые вредоносные приложения в каталоге Google Play
По данным Dr.Web Security Space для мобильных устройств
Android.Banker.Mamont.80.origin
Банковский троян, который перехватывает СМС с одноразовыми кодами от кредитных организаций, содержимое уведомлений, а также собирает другую конфиденциальную информацию. Она включает технические данные о зараженном устройстве, список установленных приложений, информацию о СИМ-карте, телефонных звонках, поступивших и отправленных СМС.
Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.675.origin
Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и, в некоторых случаях, устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57.origin
Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Click.1812
Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Program.FakeAntiVirus.1
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно вывести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.SnoopPhone.1.origin
Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.
Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2
Детектирование Android-программ, в которые при помощи хакерских инструментов для моддинга приложений добавлен мусорный код. Такая модификация выполняется с целью запутывания логики программ. Эта техника часто встречается в банковских троянах и в пиратских версиях ПО.
Tool.NPMod.3
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.LuckyPatcher.2.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.Bastion.1.origin
Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями якобы о нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.AdPush.3.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.
Adware.Opensite.15
Приложения, выдаваемые за чит-инструменты для получения ресурсов в играх. На самом деле они созданы для демонстрации рекламы. Эти программы получают с удаленного сервера конфигурацию, в соответствии с которой загружают целевой сайт с объявлениями — баннерами, всплывающими окнами, видеороликами и т. д.
Adware.Fictus.1.origin
Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений, и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin
Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Угрозы в Google Play
В I квартале 2026 года специалисты антивирусной лаборатории «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения Android.Joker, которые подписывают жертв на платные услуги. Трояны скрывались в ряде утилит для оптимизации работы Android-устройств, а также распространялись под видом мессенджеров, мультимедийного и другого ПО. Суммарно пользователи установили их, по меньшей мере, 370 000 раз.
Примеры вредоносных программ Android.Joker, выявленных в Google Play в I квартале 2026 года. Android.Joker.2511 был встроен в мессенджер Private Chat Message, а Android.Joker.2524 — в программу-фотокамеру Magic Camera
Кроме того, наши вирусные аналитики обнаружили вредоносные программы Android.Subscription.23 и Android.Subscription.24, также предназначенные для подключения пользователей к платным сервисам. Трояны загружают веб-сайты, на которых при помощи технологии Wap Click активируются платные мобильные подписки. На этих сайтах у пользователей запрашивается номер мобильного телефона, после чего происходит попытка автоматического подключения услуги. Оба вредоносных приложения суммарно были загружены из каталога Google Play свыше 1 500 000 раз.
Вредоносные программы Android.Subscription.23 и Android.Subscription.24 распространялись под видом приложений Stream Hive и Prime Link для управления личными финансами, однако их единственной функциональностью была загрузка сайтов для подключения владельцев Android-устройств к платным мобильным сервисам
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.
Индикаторы компрометации
Detection name / SHA-1
Adware.AdPush.3.origin / 501f36db0aae9f950fe5559fc12820f20cd1f620
Adware.Airpush.7.origin / 48dd9d4b9c69c5c5f0fa387864d8ce1f68dea50f
Adware.Bastion.1.origin / 02ecce68e3d0ae9d982e3dc7c9bd41c896c9ba31
Adware.Fictus.1.origin / 00aa3a61a6b70bfdb8ddceb9c74f72ed06a170d1
Adware.Fictus.1.origin / 0867d90ac1aa5680cc99d64a6b6ea6d491495f4c
Adware.Fictus.1.origin / a0f870b496e957029e136ba299ba326f7ca709d1
Adware.Fictus.1.origin / e2baa09fcdef1f8e1b438c1a0e5aca83cf473feb
Adware.Opensite.15 / b0fa6843b8f60e13dbb0dc4d2e24e24e18193dda
Android.Banker.Mamont.80.origin / 07ff80d90af74e6679c8eeb8c68084daf00538a7
Android.Banker.Mamont.80.origin / 0c4f628f6f5d64291c3962c9a2053c2c35697702
Android.Banker.Mamont.80.origin / 321208437cee45fb1f287b4bd8f61443ec43a5ee
Android.Banker.Mamont.80.origin / 5e8262ba31702737f331214634cc61a127fbaefb
Android.Banker.Mamont.80.origin / 75b3767a9c8a29560433ea70e79e3545f91e27b9
Android.Banker.Mamont.80.origin / 814388aff60847608b8f97ff526ee989fa34b0aa
Android.Banker.Mamont.80.origin / d409e0f568ac43f979f82d04f50c4d4c301a8df2
Android.Banker.Mamont.80.origin / d9cf26a5c65111b793eefe2ad28cafaaa90558f9
Android.Banker.Mamont.80.origin / e3933528474ac7c3195c6369cb162764c77f2669
Android.Banker.Mamont.80.origin / f94e696b5d26394a25d3c50cb182d7a8ef5e80a0
Android.Click.1812 / 2157969ab0856b72ff4a2a089797fdb463a23753
Android.FakeApp.1600 / 645ae4d7bc879645b6f2e0ebe84d57e89cb03f78
Android.HiddenAds.675.origin / 184df4ca6f4a75e1b70377dadba54b7ff8428d1b
Android.HiddenAds.675.origin / 3c11b64dd4a0be70f9986cb3a4c5016cf9e70958
Android.Joker.2495 / 2b5c307ee61e26455b271825199b2f832d21ee29
Android.Joker.2495 / 9148114bc6b2ca6048758a228d93cf4235c41737
Android.Joker.2508 / 01eaf5d4a598fa1c1918d35fbefe8d114573a398
Android.Joker.2509 / 22662833a64b1830e2896e49b4a00e19fd5e73a6
Android.Joker.2509 / 4facd4584ba3b564b34188db0d8183eb1bcf7a79
Android.Joker.2509 / 22662833a64b1830e2896e49b4a00e19fd5e73a6
Android.Joker.2509 / 4facd4584ba3b564b34188db0d8183eb1bcf7a79
Android.Joker.2511 / 21d8729b37be4d246a119ecc7f640180a0a99adf
Android.Joker.2512 / a893d6f95f436eae65266c7687123cbd8c4effa6
Android.Joker.2514 / 416a17b64cfc697d24ffa8144cdf2af7a652142a
Android.Joker.2514 / fc0f733ff1ab44b35e0d0baf4a56cdb674818f2a
Android.Joker.2516 / 9bce5660b4c1d4474032b6ea072c6ea336c9f4da
Android.Joker.2516 / a553ce812cd504bf51547841ef32e0af23078915
Android.Joker.2518 / 8740e9082fa7080cb5dcab3d703c4304617e3c05
Android.Joker.2519 / afd4122b722bb84668434869ba514232b41f8e8d
Android.Joker.2520 / 2b6569e39c1af59489155782c23c5edd04e965c9
Android.Joker.2520 / 86f99543c02f40807105880a7f79dc154d99261b
Android.Joker.2522 / 4af58e30db6e3097260d8aaa917a427b72c47f00
Android.Joker.2522 / ecd55a3be2baa592e6328708f21f5e6a9c587cf8
Android.Joker.2524 / cb656a3c41e5353332f05d3422a344724539b20f
Android.Joker.2525 / 006b3d772692de18b1c35ac6b5e23e09bf112f91
Android.Joker.2565 / 0c3ea7f8de1c4fc15b97afe41134b597e92a3608
Android.Joker.2570 / 9355879423897e80896aca470cdcbab2e500b8bd
Android.Joker.2572 / 76cc3a490c443373c2041048f6881e660bf71d64
Android.Joker.2580 / 44b95ee106b4e05c05d3843407197e131d572e03
Android.Joker.2582 / 68874f9d195b48910f468d70e00ba579959bc4e5
Android.Joker.2582 / 7654736119e8e3533cb1e47d1e7de8df7d56e51f
Android.Joker.2582 / c016193f6ee9ed648392ca1a124c6444bd81a2ba
Android.Joker.2582 / ef5fb3d8230e0a33b291f1ba06425bd6ffeece5f
Android.Joker.2590 / 14eddbcaec7fae7dd136218ecc72bfe54798b540
Android.Joker.2595 / b5f5f8dc002428195b1bb36678305d4adb057a8b
Android.Packed.57.origin / 4349d9d8deedf59c81f7e8ee2837e489ec685a58
Android.Phantom.1.origin / 6960243152a4113a763cbbb11c32b9b248ea4218
Android.Phantom.2.origin / 3b9338986f0f7fc50d77a783f4245bc1625343f0
Android.Phantom.3 / 87a6f5f951c6a5c6f044929bce78fe1e8eabb2f7
Android.Phantom.3 / a113745f82d7f95cdb14e7d729c6106eaf8c09ef
Android.Phantom.4.origin / 766b8e0afa6db3857c8038ab1bbba31e4449d15b
Android.Phantom.5 / 20471f8cd876c1cdbc38638ddedc13ca6e2d5cbf
Android.Phantom.5 / 6851b43c5690ccef7343d9296b1b1c50fc21f3b5
Android.Phantom.5 / a14da3a882c9f75d96577a96135d30e7a721dce8
Android.Phantom.5 / c8466dd1f57bb38a984b3adb7a7e6a7c9f20fba3
Android.Phantom.5 / ddc55e3b6f914cbc37912b2406b441192a8a92bf
Android.Phantom.5 / f8da4e30f57ee445bb46baad39c4d98b42849bc3
Android.Phantom.5.origin / 68572b9f2f588396d89ea85dc69bc5242de98a1c
Android.Subscription.23 / 55ec69a503a01bc4328eb05ab2891cc1e4b83e02
Android.Subscription.24 / d899eb28f7a798f77965ae8b535232fa940f5ee2
Program.CloudInject.1 / 9c97f4010f2b10bf00951216141b8aa5e67c86bc
Program.CloudInject.1 / 9ee08b1c245a5c8dbc268788374cb89e79beb26b
Program.CloudInject.1 / decd232709a4878f0b6b1cb5cfb28d3b8b471d3e
Program.CloudInject.5 / 4002aab34096cdb9a71263bced1c29111b681733
Program.FakeAntiVirus.1 / 017719d3fee02a0dc4fa22017b882a5c0a983ec9
Program.FakeAntiVirus.1 / 8b8889f69532ab25c57351666389715e3d2b8676
Program.FakeAntiVirus.1 / e1b517dfacaa735014331dca8dfe8099ea74c8e5
Program.FakeMoney.11 / 23d35f8774fa7020b804fa1253b13c59bf338e81
Program.FakeMoney.11 / 7fdb2adc34504b63f1f123d61ea36b6afbb6c00b
Program.SnoopPhone.1.origin / 49569cde1fdfa458f4cf84531e3a93663a9f38d6
Tool.LuckyPatcher.2.origin / 4f80c2fc41872957672cd903366eb08bb7d4ce65
Tool.NPMod.1 / 696588e66632cfd79f0ad9390c8df7e5ed5671a6
Tool.NPMod.3 / 571d981e2f63081376cc84d680fb6b51a11573a0
Tool.Obfuscator.TrashCode.1 / 4542b08a696601aad6bb819462fb4b98e122435b
Tool.Obfuscator.TrashCode.2 / 179f53791aee4bfdb3b676b7b1fd6884eea07c6e
Материал подготовлен:
Доктор Веб
Ваши контактные данные не публикуются на сайте.