Банковские трояны стали главной угрозой для Android в начале 2026 года

Компания «Доктор Веб» опубликовала отчет о вирусной активности на мобильных устройствах за I квартал 2026 года. Согласно данным исследования, активность рекламных Android-троянов продолжила снижаться, в то время как банковские вредоносные программы семейства Android.Banker значительно усилили свои позиции и стали наиболее распространённой угрозой.

По статистике детектирований Dr.Web Security Space для мобильных устройств, активность Android.MobiDash снизилась на 32,7%, а Android.HiddenAds – на 7,09% по сравнению с предыдущим кварталом. В то же время число обнаружений банковских троянов Android.Banker выросло более чем в 2,5 раза.

Банковские трояны вышли на первое место

Наиболее часто пользователи сталкивались с представителями подсемейства Android.Banker.Mamont. Такие вредоносные приложения способны перехватывать SMS с одноразовыми кодами, отображать фишинговые окна, имитировать банковские интерфейсы и собирать конфиденциальные данные.

Среди наиболее распространённых угроз выделен Android.Banker.Mamont.80.origin – троян, который помимо перехвата SMS также собирает информацию о SIM-карте, звонках, уведомлениях и установленных приложениях.

Рост обфускации и модифицированных приложений

Важной тенденцией квартала стало активное использование инструментов модификации Android-приложений. В 15,35% всех детектирований фигурировали программы, в которые добавлен «мусорный» код для усложнения анализа и обхода антивирусных механизмов. Такие объекты детектируются как Tool.Obfuscator.TrashCode.

Несмотря на снижение числа обнаружений на 31,65%, заметную долю сохранили приложения, модифицированные с помощью утилиты Tool.NPMod. Подобные инструменты позволяют изменять код программ, обходить проверку цифровой подписи и скрывать вредоносную функциональность.

Фальшивые антивирусы и нежелательное ПО

Среди нежелательных программ по-прежнему лидируют поддельные антивирусы Program.FakeAntiVirus. Они имитируют проверку устройства, сообщают о несуществующих угрозах и требуют оплату за «полную версию».

Также пользователи сталкивались с программами Program.FakeMoney, обещающими заработок за выполнение заданий, и Program.CloudInject – модифицированными приложениями с расширенными разрешениями и непрозрачной функциональностью.

Рекламное ПО сохраняет активность

Несмотря на снижение общей активности, рекламные угрозы продолжают широко распространяться. Среди наиболее распространённых выделяются Adware.Bastion.1.origin, а также модули Adware.AdPush.

Также сохраняют популярность приложения Adware.Opensite.15, маскирующиеся под игровые читы и вспомогательные инструменты. На практике они используются для загрузки рекламных сайтов и демонстрации объявлений.

Android.Phantom: трояны с использованием ИИ

В январе 2026 года «Доктор Веб» сообщил о новом семействе троянских кликеров Android.Phantom. Они распространялись через каталог Xiaomi GetApps, Telegram-каналы, Discord-серверы, сайты с модифицированными приложениями и другие источники.

Особенность Android.Phantom – использование технологий машинного обучения, JavaScript, TensorFlowJS и WebRTC для накрутки рекламных кликов. В зависимости от условий троян либо передаёт злоумышленникам виртуальный экран для удалённого управления, либо действует автоматически с использованием загруженной поведенческой модели и сценариев.

Угрозы в Google Play

В I квартале 2026 года аналитики Dr.Web выявили вредоносные приложения, размещённые в Google Play. Среди них – трояны Android.Joker, а также Android.Subscription.23 и Android.Subscription.24.

По оценке компании, приложения с Android.Joker были установлены не менее 370 000 раз. Ещё более масштабной оказалась кампания с Android.Subscription – такие приложения загрузили более 1,5 млн раз. Их задача – подключать пользователей к платным мобильным сервисам через механизмы WAP Click.

Главные угрозы для Android в начале 2026 года

По итогам I квартала 2026 года акцент угроз для Android сместился в сторону финансово ориентированного вредоносного ПО. Банковские трояны, модифицированные приложения и вредоносные программы в официальных каталогах представляют для пользователей более серьёзный риск, чем традиционное рекламное ПО.

Пользователям рекомендуется с осторожностью устанавливать приложения даже из известных источников, избегать модифицированных APK и использовать надёжные средства защиты. Больше материалов по теме можно найти в разделе «Угрозы безопасности» на Comss.ru.