Компания «Доктор Веб» опубликовала обзор вирусной активности для мобильных устройств, охватывающий период с апреля по июнь 2025 года. Согласно статистике Dr.Web Security Space, второй квартал года ознаменовался тревожными тенденциями: несмотря на снижение активности отдельных семейств вредоносов, резко выросла угроза со стороны банковских троянов и изощренных схем кражи криптовалют. Рекламные трояны вновь возглавили рейтинг распространенности, однако главным сюрпризом стал 73%-ный скачок атак с использованием Android.Banker.
Описание
Наиболее массовыми угрозами остались представители семейства Android.HiddenAds - трояны, скрытно показывающие навязчивую рекламу. Хотя их детектирование снизилось на 8,62%, они сохранили лидерство благодаря способности маскироваться под легитимные приложения и внедряться в системные каталоги. Второе место заняли трояны Android.MobiDash, чья активность, напротив, выросла на 11,17%. Эти модули встраиваются разработчиками в ПО и генерируют агрессивные рекламные уведомления. Замыкает тройку Android.FakeApp, часто маскирующийся под финансовые сервисы, но загружающий сайты онлайн-казино. Его активность снизилась на 25,17%, что не отменяет рисков для пользователей, попадающих в мошеннические ловушки.
Особую тревогу экспертов вызвал взрывной рост банковских троянов. Семейство Android.Banker увеличило активность на 73,15%, атакуя данные банковских карт и платежных систем. В то же время другие банковские угрозы показали разнонаправленную динамику: Android.BankBot снизил активность на 37,19%, а шпионское ПО Android.SpyMax - на 19,14%. Такой дисбаланс свидетельствует о переориентации киберпреступников на более эффективные инструменты. Аналитики связывают это с двумя громкими инцидентами квартала. В апреле была вскрыта масштабная кампания по хищению криптовалют через троян Android.Clipper.31. Злоумышленники внедрили его в прошивки бюджетных смартфонов, спрятав в модифицированном WhatsApp. Троян перехватывал сообщения в мессенджере, подменял адреса кошельков Tron и Ethereum на контролируемые мошенниками и тайно выгружал изображения для поиска мнемонических фраз. Поскольку подмена скрывалась от пользователя, жертвы теряли средства, даже не замечая манипуляций.
Параллельно был нейтрализован шпион Android.Spy.1292.origin, нацеленный на российских военнослужащих. Троян распространялся через поддельный Telegram-канал и каталоги приложений, маскируясь под картографическую программу Alpine Quest. Он похищал логины, пароли, геолокацию, контакты и файлы, включая секретные документы. По команде злоумышленников вредонос мог выборочно красть данные, что указывает на целенаправленный характер атак.
Платформа Google Play вновь стала рассадником угроз. Вирусные аналитики обнаружили десятки вредоносных приложений, включая подделки Android.FakeApp. Они имитировали финансовые сервисы: например, турецкое приложение TPAO («управление депозитами») и франкоязычный «помощник» Quantum MindPro, загружавшие мошеннические сайты. Игры также использовались как прикрытие: так, Pino Bounce (Android.FakeApp.1840) перенаправляла пользователей в онлайн-казино. Новым трендом стало рекламное ПО Adware.Adpush.21912, обнаруженное в приложении Coin News Promax. Оно демонстрировало уведомления, ведущие на опасные ресурсы через WebView.
Среди нежелательных программ выделялись Program.FakeMoney.11, имитирующие заработок денег, но блокирующие выплаты; Program.CloudInject.1, позволяющие удаленно управлять модифицированными приложениями; и Program.SecretVideoRecorder.1.origin, способные тайно вести съемку. В категории рискованного ПО часто детектировались Tool.Androlua.1.origin (фреймворк для запуска вредоносных скриптов Lua) и Tool.SilentInstaller.14.origin, устанавливающий APK-файлы без разрешений.
Главными тенденциями квартала стали: снижение активности Android.HiddenAds при росте Android.MobiDash; экспансия банковских троянов Android.Banker; появление сложных целевых угроз (криптокражи, военный шпионаж); и системные проблемы Google Play с проникновением троянов. Эксперты Dr.Web подчеркивают: даже снижение статистики по отдельным семействам не уменьшает общих рисков, так как злоумышленники переходят на более скрытные и специализированные атаки. Для защиты они настоятельно рекомендуют устанавливать антивирусные решения, способные блокировать как известные угрозы, так и новые векторы атак, особенно в свете участившихся случаев внедрения вредоносов на уровне прошивок.
Индикаторы компрометации
SHA1
- 00832c46bb70bf4f0ddd3b5364f1cf32a610aa71
- 15858bab4022440fbd7e9e3a76791613f060cff0
- 198d3f71918625bb9d624ca2851af58bacebb6a6
- 1c76b23e9a9830073212dbdefbe0fed16c70b43c
- 1eae146be70f1115092db0205ecfc4e2333e295a
- 23043aa05d04a1750d937b01a0c1a6896de5ec5c
- 232bfdf129d4e8f075138b7ba70e70de8b5bbea7
- 23d35f8774fa7020b804fa1253b13c59bf338e81
- 2b81b788ad3d8c17799b857873ddeca557b10567
- 2fc769c357159a116d13d51172952150096734e7
- 49f96e7d64ea458e31726c25d1860459ef602151
- 4a25dbf2a821973de7325ecd975c196f97c7bff2
- 4ae944f17a6cecaba788271cfb3945b417b8e1a2
- 501f36db0aae9f950fe5559fc12820f20cd1f620
- 50e00a8948560c20f406a25b5e4eb0f43bc2b765
- 571d981e2f63081376cc84d680fb6b51a11573a0
- 645ae4d7bc879645b6f2e0ebe84d57e89cb03f78
- 64d3cd0a2bba51cca40f7b3e3c3c148928a21e2f
- 68b8082045c938c35e8d0c87ce37323836b16f5b
- 696588e66632cfd79f0ad9390c8df7e5ed5671a6
- 75f84ba3a89f179039e0d7846c81e30ff74356e3
- 79aff0c3b270c032b9cd74cb88bb7075535c7c30
- 7c617ba259a94d88de41a0bd3aad7126daccfed5
- 7fdb2adc34504b63f1f123d61ea36b6afbb6c00b
- 8625d002e768f1ce451b4f7a0fadc6804ade834b
- 897b65ae5ab11a2ceeb238b4ce41fab0b413c466
- 8b8889f69532ab25c57351666389715e3d2b8676
- 90013a24d03b72a6d9f8df38899fc2200e69682d
- 90c9c19c9247f86016d9a1fc7fb14bc4d2796a4e
- 910091acd64150480c41ec265e41da4c4a168e69
- 93dc963167a7c3b7b826914aee948207c8c41305
- 9521dbc9fd8f3bcefea1056f08619a4c54c9edd5
- 97d0b8d71b2ccfc9ee64f7fc76bbb080c3cbce95
- 9e717e32c7847ff586cb426d72b97a5b2e5f1af1
- 9ee08b1c245a5c8dbc268788374cb89e79beb26b
- a0f870b496e957029e136ba299ba326f7ca709d1
- a43ac08111828e61ae7e0af6162efd93b82fa7a0
- a5425a39a382e9f697f29595f5d5507a7667e465
- a6bc66f321281c369228d8c6d6106ea2e5a9edae
- a8b1cb411cb1735e4ae59e9f25659b2bb1118d46
- ab878053c24f3e4f3a011700dbe62a2ef8aaf0b9
- b1fb4815bdb0a34f3ae2cfd7a0fa15dd69680bdc
- b3c54d43246cf21354130a05d1957b1c1d0bedd3
- b549db6a95d084542b9a2e10c8d392af597c2073
- c0d4e2e7fdea7cfed327792bb67c8de24bedb9ab
- c2ef076a2dd41e6897b00abb4d6a8427a1f212c0
- c66100aee1b7816fcca2dc7088d77e35fc2ab771
- ca8b9379c8b32efba832f565e7d788ba9b82206c
- ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44
- d36630642b26de86b97142fffdd69db961f2a078
- d7a2606d1c014a070b7d76dceebd5e06a75553ff
- d9dbf1897d14a7252dfbda83d5010c418bc7bcc0
- dd9f6e9ba759e8005065c4c153628e233c7b44fd
- decd232709a4878f0b6b1cb5cfb28d3b8b471d3e
- e1b517dfacaa735014331dca8dfe8099ea74c8e5
- e2baa09fcdef1f8e1b438c1a0e5aca83cf473feb
- e68214a005a273194dc9a01088e4c11c4b565d3a
- e8dbfe4ec423cefacc793d52d6dfa9ac145dd4b6
- e9213c8e5327622d7cebc0232d1a6b751c53a54d
- eced340638a97d234a03f3c13d7a75525550c3b7
- ee51ffefeba4f50d8aa6ebaf6d7f3497ac9f0362
- f313360472d294b9f6205585bd5742a59ad07065
- ff5fd1496253fddab885f67bcc04a512b9e83028