Пользователи Android провели 2025 год, балансируя по канату ещё сильнее: вредоносное ПО, приложения для кражи данных и SMS-мошенничество резко росли, в то время как злоумышленники совершенствовали свои бизнес-модели мобильных данных и доступа. (Malwarebytes)
Оглядываясь назад, мы можем рассматривать 2025 год как год, когда единичные мошенничества были заменены на скоординированные, хорошо структурированные фреймворки для атак.
Сравнивая два одинаковых шестимесячных периода — с декабря 2024 по май 2025 года против июня по ноябрь 2025 года — наши данные показывают, что обнаружение рекламного ПО на Android почти удвоилось (рост на 90%), тогда как обнаружение PUP увеличилось примерно на две трети, а обнаружение вредоносного ПО — примерно на 20%.
Сильный рост числа SMS-атак, которые мы отметили в июне, указывает на то, что 2025 год — это год отдачи. Возможности кражи одноразовых паролей больше не являются экспериментальными; Их внедряют в масштабные кампании.
Переход от помех к серьёзным преступлениям
Если смотреть на 2024 год в целом, вредоносное ПО и PUPs вместе составляют почти 90% объёмов обнаружения Android, при этом вредоносное ПО выросло примерно до 43% от общего числа, а потенциально нежелательные программы (PUP) — до 45%, а рекламное ПО снизилось примерно до 12%.
Эта смесь говорит важную историю: злоумышленники тратят меньше усилий на шумные приложения для раздражения и больше — на инструменты, которые могут тихо собирать данные, перехватывать сообщения или открывать дверь для полного захвата аккаунта.
Но это не потому, что количество рекламного ПО и PUP снизилось.
Шахак Шалев, руководитель отдела ИИ и мошенничества в Malwarebytes, отметил:
Праздничный сезон только начался, но киберпреступники уже несколько месяцев закладывают основу для успешных кампаний по вредоносному ПО на Android. Во второй половине 2025 года мы наблюдали явный рост мобильных угроз. Объёмы рекламного ПО почти удвоились, вызванные агрессивными семьями, такими как MobiDash, а обнаружение PUP-систем резко выросло, что говорит о экспериментах злоумышленников с новыми механизмами доставки. Я призываю всех быть бдительными в праздничные дни и не поддаваться искушению кликать на спонсорскую рекламу, всплывающие окна или делать покупки через социальные сети. Если предложение слишком хорошее, чтобы быть правдой, оно обычно так и есть.»
На протяжении многих лет Android/Adware.MobiDash был одним из самых распространённых нежелательных приложений на Android. MobiDash представлен в виде набора для разработки рекламного ПО (SDK), который разработчики (или переупаковщики) добавляют в обычные приложения, чтобы после короткой задержки засыпать пользователей всплывающими окнами. В 2025 году это всё ещё появляется в нашей статистике месяц за месяцем, с тысячами обнаружений только в семье MobiDash.
Таким образом, угрозы вроде MobiDash далеко не исчезли, но всё больше становятся фоном для более серьёзных угроз, которые теперь выделяются.
За тот же период с декабря по май по сравнению с июнем по ноябрь количество обнаружений рекламного ПО почти удвоилось, обнаружение PUP увеличилось примерно на 75%, а количество вредоносных программ выросло примерно на 20%.
В группе рекламного ПО только MobiDash увеличил ежемесячный объём обнаружения более чем на 100% с начала до конца 2025 года, несмотря на то, что рекламное ПО в целом оставалось меньшинством угроз для Android. Всего за последние три месяца, которые мы измерили, активность MobiDash выросла примерно на 77%, а количество обнаружений стабильно росло с сентября по ноябрь.
Более организованный подход
Вместо того чтобы полагаться на одну угрозу, мы обнаружили, что киберпреступники объединяют такие компоненты, как дропперы, шпионские модули и банкинг полезных нагрузок, в гибкие наборы инструментов, которые можно комбинировать для каждой кампании.
Что вызывает беспокойство в этом изменении — это масштаб того, что теперь собирают воры информации. Помимо журналов звонков и местоположения, многие образцы настраиваются на мониторинг мессенджеров, активности браузера и финансовых взаимодействий, создавая подробные поведенческие профили, которые можно использовать в различных схемах мошенничества. Пока эти данные остаются монетизируемыми на подпольных рынках, стимул поддерживать эти экосистемы наблюдения будет только расти.
Как отмечается в отчёте ThreatDown 2025 State of Malware:
«Точно так же, как фишинговые письма, фишинговые приложения обманывают пользователей, заставляя их передавать имена пользователей, пароли и коды двухфакторной аутентификации. Украденные учетные данные могут быть проданы или использованы киберпреступниками для кражи ценной информации и доступа к ограниченным ресурсам.»
Хищнические финансовые приложения, такие как SpyLoan и Albiriox, обычно используют социальную инженерию (иногда с поддержкой ИИ), обещающую быстрые денежные деньги, кредиты под низкие проценты и минимальные чеки. После установки они собирают контакты, сообщения и идентификаторы устройств, которые затем могут использоваться для преследования, вымогательства или злоупотребления личностью на разных платформах. В сочетании с доступом к SMS и уведомлениям эти данные позволяют операторам наблюдать, как жертвы справляются с реальными долгами, банковскими счетами и частными разговорами.
Одним из самых ярких примеров такого более организованного подхода является Triada — долгоживущий троян с удалённым доступом (RAT) для Android. В наших данных за декабрь 2024 по май 2025 года Triada наблюдалась на относительно низких, но устойчивых уровнях. В период с июня по ноябрь количество его обнаружений более чем удвоилось, с заметным скафком в конце года.
Роль Triada — обеспечить злоумышленникам устойчивое закрепление на устройстве: после установки она может помогать загружать или запускать дополнительные полезные нагрузки, манипулировать приложениями и поддерживать мошенничество на устройстве — именно тот тип долгосрочного «инфраструктурного» поведения, который превращает единичные заражения в постоянные операции.
Увидеть, как унаследовавшая угроза, такая как Triada, в тот же период, что и новые банковские вредоносные ПО, подчёркивает, что 2025 год — это время, когда давние мобильные инструменты и новые наборы для борьбы с мошенничеством начинают приносить плоды злоумышленникам.
Если дропперы, кражи информации и смишинг — это строительные леса, то банковские троянцы — это касса внизу воронки. Злоупотребление доступностью, мошенничество на устройстве и прямая трансляция в прямом эфире могут привести к тому, что транзакции совершаются внутри собственной банковской сессии жертвы, а не на клонированном сайте. Этот подход обходит многие защиты, такие как отпечатки устройств и некоторые формы многофакторной аутентификации (MFA). Эти изменения проявляются в более широкой динамике нашей статистики, когда всё больше выявлений указывает на многослойные, сквозные конвейеры мошенничества.
По сравнению с базовым показателем 2024 года, когда фишинговые приложения Android и OTP-воры составляли лишь небольшую часть всех обнаружений на Android, данные 2025 года показывают, что их доля росла на десятки процентных пунктов в некоторые месяцы, особенно в период крупных мошенничеств.
Что должны делать пользователи Android сейчас
На этом фоне пользователям Android необходимо относиться к мобильной безопасности с такой же серьёзностью, как к настольной и серверной среде. Это стоит повторить: исследование Malwarebytes показывает, что люди на 39% чаще переходят по ссылке на телефоне, чем на ноутбуке.
Несколько практических шагов действительно влияют на ситуацию:
Предпочитайте официальные магазины приложений, но не доверяйте им вслепую. Тщательно проверяйте репутацию разработчиков, отзывы и количество установок, особенно для финансовых и «утилитарных» приложений, которые требуют конфиденциальные разрешения.
Будьте крайне осторожны с такими правами, как доступ к SMS, доступ к уведомлениям, доступность и «Отобраз по другим приложениям», которые снова и снова появляются в инфокражах, банковских троянах и кампаниях по краже OTP.
Избегайте сайдлоуддинга и прошивки с серого рынка, если это не абсолютно необходимо. По возможности выбирайте устройства с чёткой политикой обновления и своевременно применяйте патчи безопасности.
Относитесь к неожиданным сообщениям и сообщениям — особенно касающимся платежей, доставок или срочных проблем с аккаунтом — как враждебных, пока не будет доказано обратное, и никогда не переходите по ссылкам и не устанавливайте приложения напрямую с них.
Запускайте современное мобильное программное обеспечение безопасности в реальном времени, которое может обнаруживать вредоносные приложения, блокировать известные неисправные ссылки и отмечать подозрительную активность SMS, прежде чем это превратится в полную компрометацию аккаунта.
Мобильные угрозы в 2025 году больше не являются фоновым шумом и не являются исключительной сферой опытных пользователей и энтузиастов. Для многих людей телефон теперь является основной площадкой для атаки и главным входом к их деньгам, идентичности и личной жизни.
Мы докладываем не только о безопасности телефона — мы её обеспечиваем
Риски кибербезопасности никогда не должны выходить за рамки заголовка. Защитите от угроз на мобильных устройствах, скачав Malwarebytes для iOS и Malwarebytes для Android уже сегодня.
Питер Арнц
Мнение авторов может не совпадать с мнением редакции.
Cообщество журналистов. Non profit
