Во втором квартале 2025 года аналитики «Доктор Веб» зафиксировали устойчивую активность рекламных троянов и рост числа атак банковских вредоносных программ. При этом внимание специалистов также привлекли новые схемы атак, включая встроенные в прошивки трояны и целевые шпионские кампании.
Рекламные и мошеннические трояны: лидеры по числу детектирований
Как и ранее, наибольшее число срабатываний в Dr.Web Security Space для Android пришлось на рекламные трояны:
- Android.HiddenAds — несмотря на снижение активности на 8,62%, продолжает лидировать;
- Android.MobiDash — активность увеличилась на 11,17%;
- Android.FakeApp — используется в мошеннических схемах, число детектирований снизилось на 25,17%.
Рост банковских троянов и целевых атак
Во втором квартале был отмечен резкий рост активности банковских троянов Android.Banker — на 73,15%. В то же время трояны Android.BankBot и Android.SpyMax стали встречаться реже.
Также были зафиксированы масштабные целевые атаки:
- Android.Clipper.31 — внедрён в прошивки дешёвых Android-смартфонов, заменяет криптокошельки в сообщениях WhatsApp и загружает изображения в поисках мнемонических фраз;
- Android.Spy.1292.origin — троян-шпион, скрытый в модифицированном Alpine Quest, собирает конфиденциальные данные, включая геолокацию и журнал активности.
Вредоносные и нежелательные программы в Google Play
Несмотря на проверку, в каталоге Google Play продолжали появляться трояны и рекламное ПО. Среди них:
- Android.FakeApp.1863 — маскировался под приложение для турецких инвесторов;
- Android.FakeApp.1859 — якобы финансовый помощник для франкоговорящих пользователей;
- Android.FakeApp.1840 — поддельная игра, перенаправлявшая пользователей на сайт онлайн-казино;
- Adware.Adpush.21912 — скрывался в приложении Coin News Promax, показывал навязчивые уведомления с переходами по управляющим ссылкам.
Примеры обнаруженных угроз
- Program.FakeMoney.11 — обещает заработок, но не выплачивает средства;
- Program.CloudInject.1 — приложения, модифицированные удалённо и получающие расширенные права;
- Program.FakeAntiVirus.1 — фальшивый антивирус с ложными угрозами;
- Program.TrackView.1.origin и Program.SecretVideoRecorder.1.origin — шпионские инструменты для слежки и скрытой съёмки;
- Tool.NPMod, Tool.Androlua, Tool.SilentInstaller — потенциально опасные инструменты для обхода подписей, исполнения Lua-скриптов и скрытого запуска приложений;
- Adware.ModAd.1, Adware.AdPush.3.origin, Adware.Basement.1 — рекламные модули и программы, демонстрирующие нежелательную рекламу, в том числе в популярных мессенджерах.
Рекомендации пользователям
Для защиты от мобильных угроз эксперты «Доктор Веб» рекомендуют использовать антивирусы для Android и быть внимательными при установке приложений, особенно из сторонних источников.
Угрозы безопасности
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok
• Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак
• Discord подтвердил утечку данных через стороннего подрядчика: украдены личные данные и изображения удостоверений личности
• Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows