«Доктор Веб»: обзор вирусной активности во II квартале 2026 года
1 июля 2026 года
В почтовом трафике наиболее часто детектировались вредоносные скрипты и различные троянские приложения, среди которых были загрузчики, дропперы, похитители паролей и майнеры. Распространение также получили бэкдоры, фишинговые документы и различные эксплойты.
Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.41868 и Trojan.Encoder.37400. При этом число поступивших в Службу технической поддержки «Доктор Веб» запросов на расшифровку по сравнению с предыдущим кварталом несколько сократилось.
Во II квартале 2026 года интернет-аналитики компании «Доктор Веб» наблюдали рост числа фишинговых атак на пользователей мессенджера MAX. Злоумышленники также эксплуатировали актуальную новостную повестку и соответствующим образом подстраивали под нее популярные мошеннические схемы.
В апреле стало известно, что в одном из обновлений Microsoft Visual Studio Code содержался вредоносный код. Им оказался троянский скрипт в составе публичной JavaScript-библиотеки es5-ext, которая была включена в обновленное ПО. Данный скрипт запускается при условии соответствия часового пояса ряда российских городов и демонстрирует в консоли разработчика призыв с антироссийской позицией.
В мае мы предупредили о распространении вредоносной программы JobStealer, нацеленной на пользователей macOS и Windows. Киберпреступники выдавали ее за ПО для проведения онлайн-собеседований. Троян JobStealer похищает различную конфиденциальную информацию, включая данные из порядка 300 браузерных расширений-криптокошельков, файлы мессенджера Telegram, сохраненные в браузерах пароли и данные банковских карт, а также файлы куки.
В июне специалисты антивирусной лаборатории компании «Доктор Веб» рассказали о новом рекламном трояне Android.MagicAd.1, способном демонстрировать рекламу в фоновом режиме благодаря возможности обходить ограничения операционной системы Android. Для этого троян эксплуатирует сторонние приложения, выбирая необходимую методику в зависимости от производителя целевого устройства.
Среди вредоносных приложений для Android-устройств лидерство по числу детектирований на защищаемых устройствах сохранили банковские трояны Android.Banker. При этом вирусописатели продолжили активно использовать различные инструменты для моддинга Android-программ, чтобы защитить вредоносное ПО от детектирования антивирусами. Вместе с тем, в течение II квартала наши вирусные аналитики обнаружили в каталоге Google Play ряд новых троянских программ, созданных для подписки пользователей на платные мобильные услуги.
Главные тенденции II квартала
- Возросло число угроз, обнаруженных на защищаемых устройствах.
- Среди детектируемых угроз значительно увеличилось число уникальных файлов.
- Количество запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, по сравнению с I кварталом сократилось.
- Мошенники стали чаще атаковать пользователей российского мессенджера MAX.
- Банковские трояны Android.Banker остались самыми распространенными вредоносными программами для Android-устройств.
- Специалисты «Доктор Веб» обнаружили рекламный троян Android.MagicAd.1, способный обходить ограничения ОС Android и показывать объявления из фонового режима.
- Вирусописатели распространяли вредоносную программу JobStealer, предназначенную для кражи конфиденциальных данных у пользователей компьютеров под управлением macOS и Windows.
- В одном из обновлений Microsoft Visual Studio Code был обнаружен вредоносный код.
По данным сервиса статистики «Доктор Веб»
Наиболее распространенные угрозы II квартала 2026 года
- Adware.Downware.20091
- Adware.Downware.20766
- Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
- Trojan.Siggen31.34463
- Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
- Trojan.BPlug.4268
- Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
- Trojan.Starter.8319
- Детектирование вредоносных XML-скриптов, которые запускают троян Trojan.AutoIt.289 и его компоненты.
Статистика вредоносных программ в почтовом трафике
Наиболее распространенные угрозы II квартала 2026 года в почтовом трафике
- X97M.DownLoader.2343
- XLSX-файл (формат электронных таблиц Microsoft Excel) с OLE-объектом, скачивающим вредоносный файл на атакуемый компьютер.
- W97M.DownLoader.2938
- Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
- JS.Muldrop.1171
- Вредоносный скрипт в формате JavaScript, который запускает в целевой системе скрытое в нем ВПО.
Шифровальщики
По сравнению с I кварталом 2026 года, во II квартале число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, незначительно сократилось — на 2,67%.
Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:
Наиболее распространенные энкодеры II квартала 2026 года
- Trojan.Encoder.35534 — 14,47% обращений пользователей
- Trojan.Encoder.41868 — 5,26% обращений пользователей
- Trojan.Encoder.37400 — 3,95% обращений пользователей
- Trojan.Encoder.35209 — 3,29% обращений пользователей
- Trojan.Encoder.44197 — 2,63% обращений пользователей
Сетевое мошенничество
Одной из тенденций, которую интернет-аналитики «Доктор Веб» наблюдали во II квартале 2026 года, стало то, что на фоне роста аудитории российского мессенджера MAX злоумышленники начали активнее атаковать пользователей данного сервиса. При этом они применяют известные схемы, которые ранее были ориентированы на пользователей других мессенджеров, таких как Telegram и WhatsApp. Например, наши специалисты выявили множество мошеннических сайтов, созданных с целью кражи учетных записей MAX под прикрытием различных голосований. Потенциальной жертве предлагается проголосовать в том или ином конкурсе, но для этого от нее требуется войти в учетную запись, указав номер мобильного телефона и поступивший после его ввода проверочный код. Когда пользователь вводит все данные, атакующие получают доступ к его аккаунту.
Пример одного из фишинговых сайтов, с помощью которого мошенники получают доступ к учетной записи мессенджера MAX жертвы
В течение II квартала интернет-аналитики «Доктор Веб» отмечали появление очередных мошеннических сайтов, связанных с инвестициями. При этом киберпреступники следуют современным тенденциям и продолжают активно эксплуатировать тематику искусственного интеллекта. Например, на некоторых интернет-ресурсах они предлагали потенциальным жертвам присоединиться к новому инвестиционному проекту, якобы имеющему отношение к крупным российским кредитным организациям. Злоумышленники обещали доступ к специализированному чат-боту на основе нейросети ChatGPT, помогающему в инвестировании. Чтобы стать участниками «проекта», посетители сайта должны были пройти регистрацию, указав персональную информацию.
Мошеннический сайт предлагает зарегистрироваться в инвестиционном проекте, якобы имеющем отношение к одному из российских банков, и получить доступ к специализированному финансовому чат-боту на основе нейросети ChatGPT
В то же время мошенники пытались привлечь русскоязычных пользователей не только именами российских банков, но и иностранных кредитных организаций. Например, ряд веб-сайтов псевдоинвестиционных сервисов киберпреступники преподносили как имеющие отношение к южнокорейским банкам.
Один из мошеннических сайтов, предлагавший русскоговорящим пользователям стать участниками некоего инвестиционного проекта одного из южнокорейских банков и обещавший доход от 2 000 000 южнокорейских вон
Во II квартале сохранялась активность мошенников, которые пытались украсть данные учетных записей от различных сервисов. Так, среди множества фишинговых сайтов встречались поддельные интернет-ресурсы транспортных компаний. Один из них был нацелен на клиентов одной из российских служб экспресс-доставки. Потенциальным жертвам предлагалось войти в свою учетную запись по номеру мобильного телефона, привязанному к аккаунту, либо авторизоваться через Госуслуги. При этом даже после «входа» в учетную запись первым способом сайт все равно демонстрировал вторую фишинговую форму под видом авторизации с использованием Госуслуг.
С помощью мошеннического сайта злоумышленники могли похищать данные сразу нескольких учетных записей — от личного кабинета на сайте транспортной компании и от портала Госуслуги
Наши эксперты также выявляли новые фишинговые веб-сайты кредитных организаций различных стран. Так, вкладчикам одного из банков США мошенники предлагали войти в учетную запись и проверить доступность повышенной процентной ставки для «лояльных клиентов»:
В другом случае фишинговый сайт имитировал внешний вид одного из эквадорских банков и запрашивал у пользователей логин и пароль от учетной записи онлайн-банка:
Еще одна фишинговая схема была ориентирована на британских пользователей. Киберпреступники создавали поддельные сайты государственных сервисов, где предлагали уплатить штраф за неправильную парковку.
У потенциальных жертв запрашивалась подробная персональная информация — якобы для проверки личности, после чего те перенаправлялись на страницу оплаты «штрафа».
Одной из распространенных мошеннических схем остается получение гражданами тех или иных безвозмездных выплат. Однако киберпреступники постоянно адаптируют ее к текущим событиям. Так, в преддверии празднования Дня России стали появляться поддельные сайты российских кредитных организаций, где посетителям злоумышленники обещали праздничные выплаты. На одном из них пользователям за прохождение опроса якобы полагалось от 5 000 до 300 000 рублей:
В другом варианте схемы пользователи после прохождения опроса якобы могли рассчитывать на получение «помощи» в размере 5 000 рублей:
А на фоне спекулятивных сообщений о нехватке топлива в некоторых российских регионах ряд таких сайтов обещал ваучеры на бесплатное получение от 20 до 100 литров горючего:
После того как посетители этих сайтов отвечали на несколько простых вопросов, им для получения обещанной награды предлагалось пройти «идентификацию личности». Для этого требовалось указать имя и фамилию, номер мобильного телефона, а также номер банковской карты. В дальнейшем мошенники могли использовать эту информацию, чтобы похитить деньги жертв.
Среди выявленных во II квартале нежелательных сайтов также встречались поддельные интернет-порталы Международной Федерации Футбола FIFA, на которых пользователи якобы могли официально приобрести билеты на матчи Чемпионата мира по футболу 2026 года, фирменные сувенирные товары, а также различные премиум-услуги. Как и на настоящем сайте, посетителям этих подделок предлагалось войти в учетную запись FIFA ID, однако форма для ввода логина и пароля в данном случае принимала любые данные.
Поддельная форма входа в учетную запись FIFA ID
После того как любители футбола выбирали интересующий их товар, им предлагалось оформить покупку и произвести оплату. При этом в процессе оплаты пользователи попадали на сайт одного из сервисов, который находится в базе интернет-ресурсов, не рекомендуемых антивирусом Dr.Web.
Поддельный сайт Международной Федерации Футбола якобы позволял официально приобретать лицензированные продукты и сервисы
Наши эксперты также зафиксировали ряд спам-кампаний, направленных на распространение ссылок на поддельные сайты российских маркетплейсов, где злоумышленники предлагали потенциальным жертвам принять участие в «юбилейном розыгрыше призов». Мошенники обещали возможность получить как денежные призы — вплоть до 1 000 000 рублей, так и компьютерную и мобильную технику:
Для участия в «акции» пользователи должны были нажать соответствующую кнопку на таких сайтах, после чего на них имитировался процесс розыгрыша призов. После нескольких попыток потенциальной жертве сообщалось, что она выиграла несколько подарков, и у нее якобы есть возможность выбора: получить сами призы — в пункте выдачи маркетплейса, или же их денежный эквивалент — переводом на банковский счет:
При выборе опции получения призов в пункте выдачи сайты сообщали, что необходимые товары закончились на складе, но пользователь якобы все еще может обменять их на деньги. После этого на странице имитировался чат с оператором для «подтверждения» намерения конвертировать призы. Для этого потенциальная жертва должна была указать номер банковской карты:
После его ввода сайты запрашивали оплату государственной пошлины — для «официального оформления выигрыша»:
Никаких призов жертвы мошенников на самом деле не получали. Они не только передавали им данные своих банковских карт, но и отдавали собственные деньги.
Вредоносное и нежелательное ПО для мобильных устройств
По данным статистики детектирований Dr.Web Security Space для мобильных устройств, во II квартале 2026 года пользователи стали реже сталкиваться с банковскими троянами Android.Banker, однако эти троянские приложения остались самым распространенным вредоносным ПО. Также наблюдалось очередное снижение активности рекламных троянов Android.HiddenAds и Android.MobiDash.
Наиболее часто детектируемыми потенциально опасными программами во II квартале стали приложения Tool.Obfuscator.TrashCode и Tool.NPMod, модифицированные при помощи утилиты для моддинга NP Manager. Вирусописатели используют этот инструмент для защиты вредоносного ПО от обнаружения антивирусами. Самыми распространенными нежелательными программами оказались поддельные антивирусы Program.FakeAntiVirus. Для «лечения» якобы найденных угроз они требуют приобрести полную версию.
Наиболее активным рекламным ПО стали модули Adware.AdPush, которые демонстрируют вводящие в заблуждение уведомления и собирают конфиденциальные данные. Распространение вновь получили приложения-оптимизаторы работы ОС Android Adware.Bastion.1.origin. Они создают уведомления с сообщениями о якобы нехватке оперативной памяти и ошибках системы, чтобы показывать рекламу во время «оптимизации». Высокую активность сохранили и рекламные программы Adware.Opensite.15. Злоумышленники распространяют их под видом чит-программ, с помощью которых пользователи якобы могут получить различные внутриигровые ресурсы. В действительности эти программы лишь загружают сайты с рекламой.
В июне специалисты компании «Доктор Веб» предупредили о трояне Android.MagicAd.1, способном обходить ограничения ОС Android и демонстрировать рекламу в фоновом режиме. Android.MagicAd.1 использует для этого сторонние приложения, а также ряд методик, которые он выбирает в зависимости от производителя целевого устройства.
В течение II квартала наши вирусные аналитики выявили в каталоге Google Play очередные троянские программы семейств Android.Joker и Android.Subscription, подписывающие пользователей на платные сервисы. Суммарно они были загружены не менее 2 600 000 раз.
Наиболее заметные события, связанные с «мобильной» безопасностью во II квартале
- Банковские трояны Android.Banker сохранили лидерство по числу детектирований вредоносного ПО на защищаемых Dr.Web устройствах.
- Злоумышленники продолжили активно применять специализированные инструменты для моддинга Android-программ с целью защиты банковских троянов от обнаружения антивирусами.
- Активность рекламных троянов Android.MobiDash и Android.HiddenAds вновь снизилась.
- Вирусные аналитики «Доктор Веб» выявили трояна Android.MagicAd.1, который эксплуатирует сторонние программы для обхода ограничений ОС Android и демонстрации рекламы в фоновом режиме.
- В каталоге Google Play были обнаружены новые троянские приложения, подписывающие пользователей на платные услуги.
Более подробно о вирусной обстановке для мобильных устройств во II квартале 2026 года читайте в нашем обзоре.