Во втором квартале 2025 года аналитики «Доктор Веб» зафиксировали устойчивую активность рекламных троянов и рост числа атак банковских вредоносных программ. При этом внимание специалистов также привлекли новые схемы атак, включая встроенные в прошивки трояны и целевые шпионские кампании.
Рекламные и мошеннические трояны: лидеры по числу детектирований
Как и ранее, наибольшее число срабатываний в Dr.Web Security Space для Android пришлось на рекламные трояны:
- Android.HiddenAds — несмотря на снижение активности на 8,62%, продолжает лидировать;
- Android.MobiDash — активность увеличилась на 11,17%;
- Android.FakeApp — используется в мошеннических схемах, число детектирований снизилось на 25,17%.
Рост банковских троянов и целевых атак
Во втором квартале был отмечен резкий рост активности банковских троянов Android.Banker — на 73,15%. В то же время трояны Android.BankBot и Android.SpyMax стали встречаться реже.
Также были зафиксированы масштабные целевые атаки:
- Android.Clipper.31 — внедрён в прошивки дешёвых Android-смартфонов, заменяет криптокошельки в сообщениях WhatsApp и загружает изображения в поисках мнемонических фраз;
- Android.Spy.1292.origin — троян-шпион, скрытый в модифицированном Alpine Quest, собирает конфиденциальные данные, включая геолокацию и журнал активности.
Вредоносные и нежелательные программы в Google Play
Несмотря на проверку, в каталоге Google Play продолжали появляться трояны и рекламное ПО. Среди них:
- Android.FakeApp.1863 — маскировался под приложение для турецких инвесторов;
- Android.FakeApp.1859 — якобы финансовый помощник для франкоговорящих пользователей;
- Android.FakeApp.1840 — поддельная игра, перенаправлявшая пользователей на сайт онлайн-казино;
- Adware.Adpush.21912 — скрывался в приложении Coin News Promax, показывал навязчивые уведомления с переходами по управляющим ссылкам.
Примеры обнаруженных угроз
- Program.FakeMoney.11 — обещает заработок, но не выплачивает средства;
- Program.CloudInject.1 — приложения, модифицированные удалённо и получающие расширенные права;
- Program.FakeAntiVirus.1 — фальшивый антивирус с ложными угрозами;
- Program.TrackView.1.origin и Program.SecretVideoRecorder.1.origin — шпионские инструменты для слежки и скрытой съёмки;
- Tool.NPMod, Tool.Androlua, Tool.SilentInstaller — потенциально опасные инструменты для обхода подписей, исполнения Lua-скриптов и скрытого запуска приложений;
- Adware.ModAd.1, Adware.AdPush.3.origin, Adware.Basement.1 — рекламные модули и программы, демонстрирующие нежелательную рекламу, в том числе в популярных мессенджерах.
Рекомендации пользователям
Для защиты от мобильных угроз эксперты «Доктор Веб» рекомендуют использовать антивирусы для Android и быть внимательными при установке приложений, особенно из сторонних источников.
Угрозы безопасности
• «Доктор Веб»: Во II квартале 2025 года выросло число атак банковских троянов и целевых шпионов для Android
• Уязвимость в сотнях моделей принтеров Brother и других брендов раскрывает стандартные пароли администратора
• Google: Хакеры обошли двухфакторную аутентификацию Gmail с помощью паролей для приложений
• «Утечка 16 миллиардов паролей» оказалась сборником старых данных
• Хакеры крадут пароли игроков через поддельные моды Minecraft на GitHub
• Ошибка ASUS Armoury Crate позволяет злоумышленникам получить права администратора Windows