Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжилось снижение активности вредоносных программ Android.MobiDash и Android.HiddenAds, демонстрирующих надоедливую рекламу. Первые обнаруживались на защищаемых устройствах на 32,70%, а вторые — на 7,09% реже по сравнению с IV кварталом минувшего года. Они уступили лидерство банковским троянам семейства Android.Banker, активность которых за последние 3 месяца увеличилась более чем в 2,5 раза. В результате те стали самыми распространенными Android-угрозами. Такие вредоносные приложения перехватывают СМС с кодами подтверждения банковских операций, демонстрируют фишинговые окна, а также могут имитировать внешний вид настоящего банковского ПО для кражи конфиденциальных данных. Пользователи чаще всего сталкивались с троянами подсемейства Android.Banker.Mamont, куда входят разнообразные вредоносные программы.
Широкое распространение (15,35% от общего числа детектирований) в I квартале получили приложения, в которые при помощи хакерских инструментов для моддинга NP Manager добавлен мусорный код с целью запутывания логики. C осени прошлого года эти инструменты активно используются в троянах семейства Android.Banker.Mamont для противодействия обнаружению антивирусами, поэтому мы предупреждаем о том, что то или иное приложение было модифицировано. Подобные программы антивирусные продукты Dr.Web детектируют как Tool.Obfuscator.TrashCode.
Другим распространенным потенциально опасным ПО, несмотря на снижение числа детектирований на 31,65%, вновь стали программы, модифицированные при помощи утилиты NP Manager (детектируются Dr.Web как Tool.NPMod). Данная утилита содержит различные модули для защиты и обфускации кода программ, а также обхода проверки их цифровой подписи после модификации. Киберпреступники используют ее для защиты вредоносного ПО с целью затруднить его обнаружение антивирусами.
Самыми распространенными нежелательными приложениями стали поддельные антивирусы Program.FakeAntiVirus, которые якобы обнаруживают угрозы и для их «лечения» требуют приобрести полную версию. Кроме того, пользователи вновь сталкивались с программами из семейств Program.FakeMoney и Program.CloudInject. Первые якобы позволяют зарабатывать на выполнении различных заданий. Вторые представляют собой ПО, модифицированное через облачный сервис CloudInject. С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать.
Среди рекламного ПО лидерами по числу детектирований стали программы-оптимизаторы Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы. Их целью является демонстрация рекламы во время «оптимизации». Другим популярным рекламным ПО были приложения Adware.Opensite.15, которые злоумышленники выдают за чит-инструменты для получения ресурсов в играх. На самом деле такие программы загружают различные сайты с объявлениями. Распространение вновь получили и программы со встроенными рекламными модулями Adware.AdPush.
В январе компания «Доктор Веб» проинформировала пользователей об Android.Phantom — новом семействе троянских приложений-кликеров. Наши вирусные аналитики выявили несколько источников распространения этих вредоносных программ. Среди них — официальный каталог приложений для устройств Xiaomi GetApps, где трояны были внедрены в ряд игр. Кроме того, киберпреступники распространяли кликеры вместе с модами популярных приложений через различные Telegram-каналы, серверы Discord, онлайн-сборники ПО и вредоносные сайты.
С помощью Android.Phantom злоумышленники накручивают рекламные клики на веб-сайтах, применяя для этого технологии машинного обучения и WebRTC — технологию передачи потоковых данных (в том числе видео) через браузер. Трояны загружают в невидимом WebView целевые интернет-ресурсы вместе с JavaScript-кодом для симуляции действий пользователя. Взаимодействие с объявлениями происходит в одном из двух режимов. Если на устройстве возможно использование WebRTC, кликеры Android.Phantom транслируют злоумышленникам виртуальный экран с загруженным сайтом, и те управляют им вручную или с использованием автоматизированной системы.
Если WebRTC недоступен, применяются автоматизированные сценарии на языке JavaScript, которые используют фреймворк TensorFlowJS. Кликеры скачивают с удаленного сервера необходимую поведенческую модель, а также JavaScript, содержащий сам фреймворк и все необходимые функции для работы модели и взаимодействия с целевыми сайтами.
В течение I квартала антивирусная лаборатория компании «Доктор Веб» зафиксировала появление новых угроз в каталоге Google Play. Среди них — множество троянских приложений Android.Joker, а также вредоносные программы Android.Subscription.23 и Android.Subscription.24. Все они созданы для подписки пользователей на платные услуги.
