«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2026 года

Вирусные обзоры | Все новости

1 июля 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, во II квартале 2026 года наблюдалось снижение активности банковских троянов Android.Banker — на 31,83% по сравнению с I кварталом. Вместе с тем, они остались самым распространенным вредоносным ПО для Android: на это семейство пришлось 23,28% детектирований соответствующего типа угроз. Эти вредоносные программы похищают различные конфиденциальные данные, такие как СМС с одноразовыми кодами от кредитных организаций, логины и пароли от учетных записей интернет-банка, а также могут демонстрировать фишинговые окна. Как и кварталом ранее, пользователи чаще всего сталкивались с подсемейством Android.Banker.Mamont, включающим различные вредоносные приложения.

В течение минувших трех месяцев продолжалось снижение активности рекламных троянов семейств Android.MobiDash и Android.HiddenAds. При этом они все еще являются одними из наиболее часто встречающихся вредоносных Android-приложений, и отдельные их модификации по-прежнему находятся среди лидеров по количеству детектирований вредоносного ПО.

Самым распространенным потенциально опасным ПО с долей свыше 66% вновь стали программы, в которые для запутывания логики добавлен мусорный код (они детектируются как Tool.Obfuscator.TrashCode). Такая модификация выполняется при помощи хакерских инструментов для моддинга NP Manager. В том числе их применяют и злоумышленники — для защиты вредоносных программ, таких как банковские трояны Android.Banker.Mamont, от обнаружения антивирусами.

На втором месте остались приложения, которые также модифицируются при помощи утилиты NP Manager, но с использованием других ее функциональных возможностей. Например, в этом инструменте предусмотрены различные модули для защиты и обфускации кода программ, а также для обхода проверки их цифровой подписи после того, как приложения были модифицированы. Вирусописатели используют данную функциональность для защиты вредоносного ПО от антивирусов. Антивирусные продукты Dr.Web детектируют измененные таким образом программы как Tool.NPMod.

Среди наиболее распространенных потенциально опасных приложений вновь оказались и программы, модифицированные при помощи утилиты Tool.LuckyPatcher. Для их модификации утилита загружает из интернета специально подготовленные скрипты.

Самыми активными нежелательными программами во II квартале стали приложения Program.FakeAntiVirus, имитирующие работу антивирусов. Они якобы выявляют те или иные угрозы и затем предлагают приобрести полную версию для «борьбы» с ними. На долю таких подделок пришлось более 44% нежелательного ПО, выявленного на Android-устройствах.

Наиболее распространенным рекламным ПО стали модули Adware.AdPush, которые могут быть встроены в Android-приложения. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Эти модули также собирают различные конфиденциальные данные. Кроме того, пользователи продолжали сталкиваться с программами-оптимизаторами Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы возникающих ошибках системы и нехватке оперативной памяти. Эти приложения демонстрируют рекламу во время «оптимизации». Высокую активность вновь проявили и рекламные программы Adware.Opensite.15. Злоумышленники выдают их за приложения с читами, которые якобы позволяют получать ресурсы в играх, но на самом деле программы только загружают сайты с объявлениями.

В начале июня специалисты компании «Доктор Веб» сообщили об Android.MagicAd.1 — трояне, способном обходить ограничения ОС Android и показывать рекламу в фоновом режиме. Для этого Android.MagicAd.1 эксплуатирует сторонние приложения, а также использует определенные методики, которые выбирает на основе производителя зараженного устройства. Подробнее об этом трояне рассказано в соответствующем материале на нашем сайте.

В течение II квартала вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play очередные вредоносные программы, подписывающие жертв на платные услуги. Среди них были представители семейств Android.Subscription и Android.Joker.

Главные тенденции II квартала

  • Банковские трояны Android.Banker остались самыми распространенными вредоносными программами для ОС Android.
  • Вирусописатели продолжили активно использовать инструменты для моддинга Android-программ, чтобы защитить банковские трояны от детектирования антивирусами.
  • Активность рекламных троянов Android.MobiDash и Android.HiddenAds вновь снизилась.
  • Обнаружен троян Android.MagicAd.1, использующий сторонние приложения для обхода ограничений ОС Android и показа рекламы в фоне.
  • Появились новые вредоносные программы в каталоге Google Play.

По данным Dr.Web Security Space для мобильных устройств

Android.Click.1812
Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.HiddenAds.675.origin
Android.HiddenAds.4236
Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и, в некоторых случаях, устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Banker.Mamont.80.origin
Банковский троян, который перехватывает СМС с одноразовыми кодами от кредитных организаций, содержимое уведомлений, а также собирает другую конфиденциальную информацию. Она включает технические данные о зараженном устройстве, список установленных приложений, информацию о СИМ-карте, телефонных звонках, поступивших и отправленных СМС.
Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Program.FakeAntiVirus.1
Program.FakeAntiVirus.4
Program.FakeAntiVirus.4.origin
Program.FakeAntiVirus.5
Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11
Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно вывести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2
Детектирование Android-программ, в которые при помощи хакерских инструментов для моддинга приложений добавлен мусорный код. Такая модификация выполняется с целью запутывания логики программ. Эта техника часто встречается в банковских троянах и в пиратских версиях ПО.
Tool.NPMod.3
Tool.NPMod.1
Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.LuckyPatcher.2.origin
Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Adware.Bastion.1.origin
Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями якобы о нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.Opensite.15
Приложения, выдаваемые за чит-инструменты для получения ресурсов в играх. На самом деле они созданы для демонстрации рекламы. Эти программы получают с удаленного сервера конфигурацию, в соответствии с которой загружают целевой сайт с объявлениями — баннерами, всплывающими окнами, видеороликами и т. д.
Adware.AdPush.3.origin
Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.
Adware.Fictus.1.origin
Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений, и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin
Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В течение II квартала 2026 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько новых троянских программ Android.Subscription, подписывающих пользователей на платные услуги. Они распространялись под видом разнообразного ПО: онлайн-кинотеатра ShowLounge - TV & Dramas (Android.Subscription.25), программы для геймеров AIM: Crosshair Asist (Android.Subscription.26), игры True Cargo Drive (Android.Subscription.27), утилиты Battery 3D: Charge Effects (Android.Subscription.28) и редактора изображений PixStudio - Photo Editor (Android.Subscription.29). В общей сложности они были загружены по меньшей мере 2 600 000 раз.

Примеры троянских программ Android.Subscription, выявленных в Google Play во II квартале 2026 года

Вредоносные приложения этого типа загружают веб-сайты, где при помощи технологии Wap Click пользователям подключаются платные мобильные подписки. У потенциальных жертв запрашивается номер мобильного телефона, и после его ввода выполняется попытка активации соответствующих услуг.

В Google Play вновь распространялись троянские программы Android.Joker, которые тоже подписывают жертв на платные услуги. Злоумышленники выдавали их за мессенджеры Chat Messages (Android.Joker.2625) и Easy Messages (Android.Joker.2632), а также утилиты для оптимизации работы системы Smart File Cleaner, Junk Clean Master и Fast Cleaner (Android.Joker.2614, Android.Joker.2618 и Android.Joker.2626 соответственно).

Одно из вредоносных приложений, в которых скрывались трояны семейства Android.Joker

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

Последние новости Все новости