«Доктор Веб»: обзор вирусной активности в I квартале 2026 года

Вирусные обзоры | Все новости

1 апреля 2026 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2026 года общее число обнаруженных угроз снизилось на 6,77% по сравнению с IV кварталом прошлого года. Число уникальных угроз уменьшилось на 11,98%. Чаще всего на защищаемых устройствах обнаруживалось рекламное ПО и рекламные трояны, вредоносные программы-загрузчики, а также бэкдоры.

В почтовом трафике наиболее часто встречались вредоносные скрипты, бэкдоры и различные троянские приложения. Через электронные письма злоумышленники также распространяли фишинговые документы и эксплойты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.29750 и Trojan.Encoder.41868.

В I квартале 2026 года интернет-аналитики компании «Доктор Веб» выявили новые фишинговые сайты, включая поддельные ресурсы кредитных организаций и маркетплейсов, а также ряд других нежелательных сайтов.

В сегменте мобильных устройств наблюдалась возросшая активность банковских троянов. При этом наши вирусные аналитики отметили рост популярности методики защиты вредоносных программ от обнаружения антивирусным ПО, которая заключается в добавлении в них мусорного кода.

В январе эксперты «Доктор Веб» рассказали о троянах-кликерах Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Кроме того, в течение последних 3 месяцев мы зафиксировали появление очередных вредоносных программ в каталоге Google Play, среди которых были трояны, подписывающие пользователей на платные услуги.

Главные тенденции I квартала

  • Снизилось число угроз, обнаруженных на защищаемых устройствах
  • Среди детектируемых угроз сократилось число уникальных файлов
  • По сравнению с прошлым периодом наблюдения было зафиксировано меньше запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
  • Продолжился рост активности банковских троянов для Android-устройств
  • Пользователям угрожали вредоносные программы-кликеры Android.Phantom, которые используют, в том числе, технологии машинного обучения для накрутки кликов на веб-сайтах
  • В каталоге Google Play были выявлены очередные вредоносные программы

По данным сервиса статистики «Доктор Веб»

#drweb

Наиболее распространенные угрозы I квартала 2026 года

Trojan.Siggen31.34463
Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20655
Adware.Downware.20766
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4268
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379
Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

#drweb

Наиболее распространенные угрозы I квартала 2026 года в почтовом трафике

JS.DownLoader.1225
Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Redirector.514
Вредоносный скрипт, перенаправляющий пользователя на подконтрольную злоумышленникам веб-страницу.

Шифровальщики

В I квартале 2026 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, сократилось на 31,51% по сравнению с IV кварталом минувшего года. Снижение произошло на фоне новогодних праздников и связанных с ними продолжительных выходных, в течение которых ряд киберпреступников мог приостановить активность и уйти на каникулы. При этом пользователи, которые все же пострадали от атак троянов-шифровальщиков в этот период, могли не сразу среагировать на произошедшие инциденты.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

#drweb

Наиболее распространенные энкодеры I квартала 2026 года

  • Trojan.Encoder.35534 — 15,59% обращений пользователей
  • Trojan.Encoder.29750 — 3,23% обращений пользователей
  • Trojan.Encoder.41868 — 3,23% обращений пользователей
  • Trojan.Encoder.26996 — 1,62% обращений пользователей
  • Trojan.Encoder.44383 — 1,61% обращений пользователей

Сетевое мошенничество

За минувшие 3 месяца интернет-аналитики компании «Доктор Веб» выявили ряд новых поддельных сайтов маркетплейсов. На них злоумышленники предлагают принять участие в «распродаже» якобы невыкупленных заказов. Мошенническая схема заключается в следующем: «невостребованные» товары из заказов разделены на различные категории (электроника, одежда, обувь, косметика и т. д.) и якобы собираются в соответствующие коробки-сюрпризы. Их содержимое неизвестно и может включать, в том числе, дорогие вещи. При этом такие коробки потенциальным жертвам предлагается купить за относительно невысокую стоимость, что и является главной приманкой.

#drweb

Поддельный сайт маркетплейса обещает «распродажу невостребованных заказов», которые якобы переполняют склады

Когда пользователь выбирает одну из коробок, ему предлагается оформить заказ и указать персональные данные, которые могут включать имя и фамилию, номер мобильного телефона и адрес электронной почты. Затем он перенаправляется на страницу оплаты через СБП. В итоге жертва лишается денег и передает мошенникам конфиденциальные сведения.

После оформления «заказа» жертве предлагается оплатить его через Систему быстрых платежей

Наши эксперты также выявили множество сайтов сервисов, предлагающих различные финансовые услуги, например — возможность оперативного получения микрозайма, кредита или прохождения процедуры банкротства. Такие сервисы сами не предоставляют эти услуги, как того ожидают пользователи, и являются лишь посредниками между клиентами и финансовыми организациями. Они на платной основе дают доступ к подборке потенциально подходящих вариантов, в то время как агрегация подобных финансовых предложений доступна в бесплатных источниках. Более того, эти сервисы не гарантируют успешный результат при подаче заявки. В то же время, оплата доступа является не единовременной и представляет собой платную подписку с периодическим списанием денег.

#drweb

Один из веб-сайтов, где доступ к сервису по подбору финансовых предложений является платным и оформляется в виде подписки

В некоторых случаях подобные ресурсы могут вводить пользователей в заблуждение, предлагая одну услугу, например — трудоустройство, но фактически предоставлять по подписке доступ к тем же финансовым предложениям по получению кредитов, микрозаймов и т. д.

#drweb

Веб-сайт обещает помощь в поиске работы, но после оплаты доступа к сервису вместо списка вакансий может предоставить финансовые предложения от партнеров на получение кредита, микрозайма и т. п.

Среди выявленных в I квартале фишинговых сайтов встречались поддельные интернет-ресурсы благотворительного спортивного забега «Зеленый марафон». На них посетителям предлагается зарегистрироваться для участия в марафоне, однако эти сайты не имеют отношения к мероприятию и созданы для сбора конфиденциальных данных пользователей.

#drweb

Один из поддельных сайтов забега «Зеленый марафон»

Интернет-аналитики «Доктор Веб» также выявили очередные поддельные сайты инвестиционных сервисов, якобы имеющих отношение к различным кредитным организациям. Среди них были сайты, ориентированные на аудиторию из России, Казахстана и других стран. Мошенники обещают потенциальным жертвам высокую прибыль и для «доступа» к псевдоинвестиционным платформам просят пройти короткий опрос и зарегистрировать учетную запись, указав персональную информацию.

#drweb

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одного из российских банков

#drweb

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одной из кредитных организаций Казахстана

Узнайте больше о нерекомендуемых антивирусом Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжился рост активности банковских троянов Android.Banker, который наблюдался в IV квартале минувшего года. Наиболее распространенными среди них стали представители подсемейства Android.Banker.Mamont. В то же время вновь сократилось число детектирований рекламных троянов Android.MobiDash и Android.HiddenAds.

Среди выявленного потенциально опасного ПО лидировали программы, в которые при помощи инструментов для моддинга внедрен мусорный код (детектируются как Tool.Obfuscator.TrashCode). Такая методика в настоящее время активно применяется для защиты банковских троянов от обнаружения антивирусами. Кроме того, по-прежнему распространенными были приложения, модифицированные при помощи утилиты NP Manager (детектируются как Tool.NPMod).

Наиболее часто детектируемым нежелательным ПО стали поддельные антивирусы Program.FakeAntiVirus, которые для «лечения» якобы выявленных угроз требуют приобрести полную версию. Самым активным рекламным ПО в I квартале оказались программы Adware.Bastion.1.origin и Adware.Opensite.15. Первые представляют собой приложения-оптимизаторы, которые создают уведомления с сообщениями о якобы нехватке памяти и ошибках системы, чтобы показывать рекламу во время «оптимизации». Вторые являются поддельными чит-программами для получения различных ресурсов в играх, но в действительности лишь загружают веб-сайты с рекламой.

В январе 2026 года наша антивирусная лаборатория предупредила о троянах-кликерах Android.Phantom. Эти вредоносные приложения используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Киберпреступники распространяли их сразу несколькими способами: через каталог GetApps для устройств Xiaomi, Telegram-каналы, серверы Discord, сторонние сборники ПО и через вредоносные сайты.

В течение минувших 3 месяцев вирусные аналитики «Доктор Веб» выявили в каталоге Google Play новые угрозы, среди которых были троянские приложения Android.Joker и Android.Subscription, предназначенные для подписки пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в I квартале

  • Банковские трояны Android.Banker стали самыми распространенными угрозами для Android-устройств
  • Киберпреступники чаще использовали утилиты для моддинга Android-приложений, чтобы защитить банковские трояны от обнаружения антивирусами
  • Продолжилась тенденция к снижению активности рекламных троянов Android.MobiDash и Android.HiddenAds
  • Пользователям угрожали трояны Android.Phantom, использующие машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
  • В каталоге Google Play вновь распространялись вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в I квартале 2026 года читайте в нашем обзоре.

Последние новости Все новости