Во втором квартале 2025 года аналитики «Доктор Веб» зафиксировали устойчивую активность рекламных троянов и рост числа атак банковских вредоносных программ. При этом внимание специалистов также привлекли новые схемы атак, включая встроенные в прошивки трояны и целевые шпионские кампании.
Рекламные и мошеннические трояны: лидеры по числу детектирований
Как и ранее, наибольшее число срабатываний в Dr.Web Security Space для Android пришлось на рекламные трояны:
- Android.HiddenAds — несмотря на снижение активности на 8,62%, продолжает лидировать;
- Android.MobiDash — активность увеличилась на 11,17%;
- Android.FakeApp — используется в мошеннических схемах, число детектирований снизилось на 25,17%.
Рост банковских троянов и целевых атак
Во втором квартале был отмечен резкий рост активности банковских троянов Android.Banker — на 73,15%. В то же время трояны Android.BankBot и Android.SpyMax стали встречаться реже.
Также были зафиксированы масштабные целевые атаки:
- Android.Clipper.31 — внедрён в прошивки дешёвых Android-смартфонов, заменяет криптокошельки в сообщениях WhatsApp и загружает изображения в поисках мнемонических фраз;
- Android.Spy.1292.origin — троян-шпион, скрытый в модифицированном Alpine Quest, собирает конфиденциальные данные, включая геолокацию и журнал активности.
Вредоносные и нежелательные программы в Google Play
Несмотря на проверку, в каталоге Google Play продолжали появляться трояны и рекламное ПО. Среди них:
- Android.FakeApp.1863 — маскировался под приложение для турецких инвесторов;
- Android.FakeApp.1859 — якобы финансовый помощник для франкоговорящих пользователей;
- Android.FakeApp.1840 — поддельная игра, перенаправлявшая пользователей на сайт онлайн-казино;
- Adware.Adpush.21912 — скрывался в приложении Coin News Promax, показывал навязчивые уведомления с переходами по управляющим ссылкам.
Примеры обнаруженных угроз
- Program.FakeMoney.11 — обещает заработок, но не выплачивает средства;
- Program.CloudInject.1 — приложения, модифицированные удалённо и получающие расширенные права;
- Program.FakeAntiVirus.1 — фальшивый антивирус с ложными угрозами;
- Program.TrackView.1.origin и Program.SecretVideoRecorder.1.origin — шпионские инструменты для слежки и скрытой съёмки;
- Tool.NPMod, Tool.Androlua, Tool.SilentInstaller — потенциально опасные инструменты для обхода подписей, исполнения Lua-скриптов и скрытого запуска приложений;
- Adware.ModAd.1, Adware.AdPush.3.origin, Adware.Basement.1 — рекламные модули и программы, демонстрирующие нежелательную рекламу, в том числе в популярных мессенджерах.
Рекомендации пользователям
Для защиты от мобильных угроз эксперты «Доктор Веб» рекомендуют использовать антивирусы для Android и быть внимательными при установке приложений, особенно из сторонних источников.
Угрозы безопасности
• Shamos: новый инфостилер маскируется под «исправления» для macOS
• Apple закрыла уязвимость нулевого дня, которая используется в целевых атаках на iPhone, iPad и Mac
• Популярное расширение для Chrome шпионит за вами — удалите его немедленно
• Хакеры эксплуатируют уязвимость WinRAR: обновитесь до версии 7.13
• Программа-вымогатель Akira использует уязвимый драйвер для отключения Microsoft Defender
• «Лаборатория Касперского»: троян LunaSpy под видом антивируса атакует Android-устройства в России