По данным «Доктор Веб», во II квартале 2026 года активность банковских троянов Android.Banker снизилась на 31,83%, однако они сохранили первое место среди Android-угроз. Одновременно продолжилось снижение активности рекламных троянов, вирусописатели по-прежнему массово применяли инструменты моддинга для сокрытия вредоносного ПО, а в Google Play появились новые опасные приложения.
Компания «Доктор Веб» опубликовала отчет о вирусной активности на мобильных устройствах за II квартал 2026 года. Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, число обнаружений банковских троянов Android.Banker сократилось на 31,83% по сравнению с I кварталом. Несмотря на это, семейство осталось самым распространенным вредоносным ПО для Android – на него пришлось 23,28% детектирований соответствующего типа угроз.
Банковские трояны сохранили лидерство
Как и кварталом ранее, пользователи чаще всего сталкивались с представителями подсемейства Android.Banker.Mamont. Такие приложения перехватывают SMS с одноразовыми кодами от кредитных организаций, похищают логины и пароли от учетных записей интернет-банка и демонстрируют фишинговые окна.
Среди наиболее распространенных угроз выделен Android.Banker.Mamont.80.origin – троян, который помимо перехвата SMS собирает технические данные о зараженном устройстве, список установленных приложений, а также информацию о SIM-карте, телефонных звонках, поступивших и отправленных сообщениях.
Рекламные трояны продолжают снижение
В течение квартала продолжилось снижение активности рекламных троянов семейств Android.MobiDash и Android.HiddenAds. При этом они остаются одними из наиболее часто встречающихся вредоносных Android-приложений: отдельные их модификации по-прежнему находятся среди лидеров по количеству детектирований.
Моддинг и обфускация вредоносного ПО
Самым распространенным потенциально опасным ПО с долей свыше 66% вновь стали программы, в которые для запутывания логики добавлен «мусорный» код. Они детектируются как Tool.Obfuscator.TrashCode. Модификация выполняется при помощи хакерского инструмента для моддинга NP Manager, которым пользуются в том числе злоумышленники – для защиты банковских троянов Android.Banker.Mamont от обнаружения антивирусами.
На втором месте остались приложения, модифицированные тем же NP Manager, но с использованием других его возможностей. Инструмент содержит модули для защиты и обфускации кода, а также для обхода проверки цифровой подписи после модификации. Такие программы детектируются как Tool.NPMod. Кроме того, среди распространенных потенциально опасных приложений вновь оказались программы, измененные утилитой Tool.LuckyPatcher, которая загружает скрипты для модификации из интернета.
Фальшивые антивирусы и нежелательное ПО
Самыми активными нежелательными программами во II квартале стали поддельные антивирусы Program.FakeAntiVirus. Они имитируют проверку устройства, сообщают о несуществующих угрозах и предлагают приобрести полную версию для «борьбы» с ними. На долю таких подделок пришлось более 44% нежелательного ПО, выявленного на Android-устройствах.
Также пользователи сталкивались с программами Program.FakeMoney.11, обещающими заработок за выполнение заданий. Они имитируют начисление вознаграждений, но обещанные выплаты не поступают даже после накопления суммы, якобы достаточной для вывода.
Рекламное ПО сохраняет активность
Наиболее распространенным рекламным ПО стали модули Adware.AdPush, встраиваемые в Android-приложения. Они демонстрируют вводящие в заблуждение уведомления и собирают конфиденциальные данные. Пользователи также продолжали сталкиваться с программами-оптимизаторами Adware.Bastion.1.origin, которые создают ложные сообщения о нехватке памяти и ошибках системы, показывая рекламу во время «оптимизации».
Высокую активность вновь проявили рекламные программы Adware.Opensite.15, которые маскируются под приложения с читами для получения ресурсов в играх, но на деле лишь загружают сайты с объявлениями. В статистике также заметны модули Adware.Fictus.1.origin, встраиваемые в клоны популярных игр при помощи упаковщика net2share, и Adware.Airpush.7.origin, применяемые в том числе для распространения других вредоносных программ.
Android.MagicAd.1: реклама в обход ограничений системы
В начале июня «Доктор Веб» сообщил о трояне Android.MagicAd.1, способном обходить ограничения ОС Android и показывать рекламу в фоновом режиме. Для этого он эксплуатирует сторонние приложения и применяет методики, которые выбирает в зависимости от производителя зараженного устройства. Троян распространялся через официальный каталог приложений Xiaomi GetApps и скрывался более чем в 50 играх и программах.
Угрозы в Google Play
Во II квартале 2026 года аналитики Dr.Web обнаружили в каталоге Google Play новые троянские программы семейства Android.Subscription, подписывающие пользователей на платные услуги. Они распространялись под видом онлайн-кинотеатра ShowLounge - TV & Dramas (Android.Subscription.25), программы для геймеров AIM: Crosshair Asist (Android.Subscription.26), игры True Cargo Drive (Android.Subscription.27), утилиты Battery 3D: Charge Effects (Android.Subscription.28) и редактора изображений PixStudio - Photo Editor (Android.Subscription.29). В общей сложности эти приложения были загружены не менее 2 600 000 раз.

Вредоносные приложения этого типа загружают веб-сайты, где при помощи технологии Wap Click пользователям подключаются платные мобильные подписки. У жертвы запрашивается номер телефона, после ввода которого выполняется попытка активации соответствующих услуг.
Помимо этого в Google Play вновь распространялись троянские программы Android.Joker. Злоумышленники выдавали их за мессенджеры Chat Messages (Android.Joker.2625) и Easy Messages (Android.Joker.2632), а также за утилиты для оптимизации системы Smart File Cleaner, Junk Clean Master и Fast Cleaner (Android.Joker.2614, Android.Joker.2618 и Android.Joker.2626 соответственно).
Главные тенденции II квартала
По итогам квартала банковские трояны Android.Banker остались самой распространенной угрозой для Android, несмотря на снижение активности. Вирусописатели продолжили защищать их от антивирусов при помощи инструментов моддинга, активность рекламных троянов Android.MobiDash и Android.HiddenAds вновь снизилась, а в каталоге Google Play появились новые вредоносные приложения. Отдельно был выявлен троян Android.MagicAd.1, показывающий рекламу в фоне в обход ограничений системы.
Пользователям рекомендуется с осторожностью устанавливать приложения даже из известных источников, избегать модифицированных APK и использовать надежные средства защиты. Больше материалов по теме можно найти в разделе «Угрозы безопасности» на Comss.ru, а данные за предыдущий период – в статье «Банковские трояны стали главной угрозой для Android в начале 2026 года».




