«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2026 года

1 апреля 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжилось снижение активности вредоносных программ Android.MobiDash и Android.HiddenAds, демонстрирующих надоедливую рекламу. Первые обнаруживались на защищаемых устройствах на 32,70%, а вторые — на 7,09% реже по сравнению с IV кварталом минувшего года. Они уступили лидерство банковским троянам семейства Android.Banker, активность которых за последние 3 месяца увеличилась более чем в 2,5 раза. В результате те стали самыми распространенными Android-угрозами. Такие вредоносные приложения перехватывают СМС с кодами подтверждения банковских операций, демонстрируют фишинговые окна, а также могут имитировать внешний вид настоящего банковского ПО для кражи конфиденциальных данных. Пользователи чаще всего сталкивались с троянами подсемейства Android.Banker.Mamont, куда входят разнообразные вредоносные программы.

Широкое распространение (15,35% от общего числа детектирований) в I квартале получили приложения, в которые при помощи хакерских инструментов для моддинга NP Manager добавлен мусорный код с целью запутывания логики. C осени прошлого года эти инструменты активно используются в троянах семейства Android.Banker.Mamont для противодействия обнаружению антивирусами, поэтому мы предупреждаем о том, что то или иное приложение было модифицировано. Подобные программы антивирусные продукты Dr.Web детектируют как Tool.Obfuscator.TrashCode.

Другим распространенным потенциально опасным ПО, несмотря на снижение числа детектирований на 31,65%, вновь стали программы, модифицированные при помощи утилиты NP Manager (детектируются Dr.Web как Tool.NPMod). Данная утилита содержит различные модули для защиты и обфускации кода программ, а также обхода проверки их цифровой подписи после модификации. Киберпреступники используют ее для защиты вредоносного ПО с целью затруднить его обнаружение антивирусами.

Самыми распространенными нежелательными приложениями стали поддельные антивирусы Program.FakeAntiVirus, которые якобы обнаруживают угрозы и для их «лечения» требуют приобрести полную версию. Кроме того, пользователи вновь сталкивались с программами из семейств Program.FakeMoney и Program.CloudInject. Первые якобы позволяют зарабатывать на выполнении различных заданий. Вторые представляют собой ПО, модифицированное через облачный сервис CloudInject. С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать.

Среди рекламного ПО лидерами по числу детектирований стали программы-оптимизаторы Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы. Их целью является демонстрация рекламы во время «оптимизации». Другим популярным рекламным ПО были приложения Adware.Opensite.15, которые злоумышленники выдают за чит-инструменты для получения ресурсов в играх. На самом деле такие программы загружают различные сайты с объявлениями. Распространение вновь получили и программы со встроенными рекламными модулями Adware.AdPush.

В январе компания «Доктор Веб» проинформировала пользователей об Android.Phantom — новом семействе троянских приложений-кликеров. Наши вирусные аналитики выявили несколько источников распространения этих вредоносных программ. Среди них — официальный каталог приложений для устройств Xiaomi GetApps, где трояны были внедрены в ряд игр. Кроме того, киберпреступники распространяли кликеры вместе с модами популярных приложений через различные Telegram-каналы, серверы Discord, онлайн-сборники ПО и вредоносные сайты.

С помощью Android.Phantom злоумышленники накручивают рекламные клики на веб-сайтах, применяя для этого технологии машинного обучения и WebRTC — технологию передачи потоковых данных (в том числе видео) через браузер. Трояны загружают в невидимом WebView целевые интернет-ресурсы вместе с JavaScript-кодом для симуляции действий пользователя. Взаимодействие с объявлениями происходит в одном из двух режимов. Если на устройстве возможно использование WebRTC, кликеры Android.Phantom транслируют злоумышленникам виртуальный экран с загруженным сайтом, и те управляют им вручную или с использованием автоматизированной системы.

Если WebRTC недоступен, применяются автоматизированные сценарии на языке JavaScript, которые используют фреймворк TensorFlowJS. Кликеры скачивают с удаленного сервера необходимую поведенческую модель, а также JavaScript, содержащий сам фреймворк и все необходимые функции для работы модели и взаимодействия с целевыми сайтами.

В течение I квартала антивирусная лаборатория компании «Доктор Веб» зафиксировала появление новых угроз в каталоге Google Play. Среди них — множество троянских приложений Android.Joker, а также вредоносные программы Android.Subscription.23 и Android.Subscription.24. Все они созданы для подписки пользователей на платные услуги.

По данным Dr.Web Security Space для мобильных устройств

Android.Banker.Mamont.80.origin

Банковский троян, который перехватывает СМС с одноразовыми кодами от кредитных организаций, содержимое уведомлений, а также собирает другую конфиденциальную информацию. Она включает технические данные о зараженном устройстве, список установленных приложений, информацию о СИМ-карте, телефонных звонках, поступивших и отправленных СМС.

Android.FakeApp.1600

Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.

Android.HiddenAds.675.origin

Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и, в некоторых случаях, устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.

Android.Packed.57.origin

Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).

Android.Click.1812

Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.

Program.FakeAntiVirus.1

Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.

Program.FakeMoney.11

Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно вывести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.

Program.CloudInject.5

Program.CloudInject.1

Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.

Program.SnoopPhone.1.origin

Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.Obfuscator.TrashCode.1

Tool.Obfuscator.TrashCode.2

Детектирование Android-программ, в которые при помощи хакерских инструментов для моддинга приложений добавлен мусорный код. Такая модификация выполняется с целью запутывания логики программ. Эта техника часто встречается в банковских троянах и в пиратских версиях ПО.

Tool.NPMod.3

Tool.NPMod.1

Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.

Tool.LuckyPatcher.2.origin

Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.Bastion.1.origin

Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями якобы о нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».

Adware.AdPush.3.origin

Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.

Adware.Opensite.15

Приложения, выдаваемые за чит-инструменты для получения ресурсов в играх. На самом деле они созданы для демонстрации рекламы. Эти программы получают с удаленного сервера конфигурацию, в соответствии с которой загружают целевой сайт с объявлениями — баннерами, всплывающими окнами, видеороликами и т. д.

Adware.Fictus.1.origin

Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений, и после установки демонстрируют нежелательную рекламу.

Adware.Airpush.7.origin

Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В I квартале 2026 года специалисты антивирусной лаборатории «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения Android.Joker, которые подписывают жертв на платные услуги. Трояны скрывались в ряде утилит для оптимизации работы Android-устройств, а также распространялись под видом мессенджеров, мультимедийного и другого ПО. Суммарно пользователи установили их, по меньшей мере, 370 000 раз.

Примеры вредоносных программ Android.Joker, выявленных в Google Play в I квартале 2026 года. Android.Joker.2511 был встроен в мессенджер Private Chat Message, а Android.Joker.2524 — в программу-фотокамеру Magic Camera

Кроме того, наши вирусные аналитики обнаружили вредоносные программы Android.Subscription.23 и Android.Subscription.24, также предназначенные для подключения пользователей к платным сервисам. Трояны загружают веб-сайты, на которых при помощи технологии Wap Click активируются платные мобильные подписки. На этих сайтах у пользователей запрашивается номер мобильного телефона, после чего происходит попытка автоматического подключения услуги. Оба вредоносных приложения суммарно были загружены из каталога Google Play свыше 1 500 000 раз.

Вредоносные программы Android.Subscription.23 и Android.Subscription.24 распространялись под видом приложений Stream Hive и Prime Link для управления личными финансами, однако их единственной функциональностью была загрузка сайтов для подключения владельцев Android-устройств к платным мобильным сервисам

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации