Android
Прошедший 2025 год стал рекордным по числу атак на Android-устройства. Мошенники эксплуатируют несколько горячих трендов: интерес пользователей к ИИ-приложениям, желание обойти блокировки доступа к сайтам или проверку возраста на входе, стремление сэкономить при покупке смартфона, повсеместное распространение банковских и платежных сервисов, а также популярность NFC. Разбираемся в основных угрозах 2025–2026 годов и выясняем, как защитить свой Android-смартфон в новых условиях.
Установка из посторонних источников
Вредоносные установочные пакеты (файлы APK) всегда были основной угрозой для Android-устройств, несмотря на многолетние усилия Google по укреплению защиты Android. Используя sideloading — установку нового приложения из APK-файла вместо загрузки из магазина приложений — можно установить любые приложения, включая откровенно вредоносные. Ни внедрение Google Play Protect, ни различные ограничения прав для установленных неизвестно откуда приложений не уменьшили масштаб проблемы.
По предварительным данным «Лаборатории Касперского» за 2025 год, число обнаруженных на Android мобильных угроз выросло почти вдвое. В третьем квартале их было на 38% больше, чем во втором. В некоторых нишах, таких как банковские трояны, рост еще серьезнее. В одной России опасный банковский троян Mamont атаковал в 36 раз больше пользователей, чем годом ранее, в целом по миру рост этой категории почти четырехкратный.
Сегодня злоумышленники в основном распространяют вредоносное ПО через мессенджеры, пересылая вредоносные файлы в личных чатах и группах. Установочный файл имеет привлекательное имя («фото вечеринки.jpg.apk», «все товары распродажи.apk» и подобные), а сопутствующее сообщение объясняет, как установить пакет, обойдя ограничения и предупреждения операционной системы.
После заражения нового устройства зловред нередко рассылает себя всем контактам жертвы.
Также популярен спам в поисковых системах и e-mail-рассылках, заманивающий пользователей на сайт, внешне похожий на магазин приложений, где предлагается скачать «новое полезное приложение» ؙ— например, ИИ-ассистента. На самом деле происходит не установка из магазина приложений, а загрузка приложения в пакете APK. Ярким примером этих техник является Android-троян ClayRat, комбинирующий все перечисленное для атак на российских пользователей. Он распространяется через группы и через фальшивые сайты, рассылает себя контактам очередной жертвы через SMS, а затем ворует у жертвы ее переписку и историю звонков и даже фотографирует владельца фронтальной камерой смартфона. Всего за три месяца появилось более 600 сборок трояна.
Масштаб беды таков, что в Google даже анонсировали запрет на распространение приложений от неизвестных разработчиков с 2026 года. Но спустя пару месяцев под давлением сообщества разработчиков сменили подход на более мягкий — вероятно, неподписанные приложения можно будет устанавливать только в каком-то «режиме суперпользователя». Поэтому можно ожидать, что инструкции от мошенников пополнятся описанием того, как в этот режим войти.
В России проблема «левых» загрузок усложняется тем, что многие повседневные приложения, в первую очередь банковские, более недоступны в Google Play. Поэтому совет по безопасности, который много лет давали пользователям и антивирусные компании, и сами банки: «загружайте приложения только из официального магазина», — больше неприменим. APK с сайтов загружать все же приходится, и пользователям нужно пристально вглядываться, чтобы отличить настоящий сайт банка от фальшивки.
Атаки на бесконтактные платежи
Заразив Android-устройство, злоумышленники могут напрямую воровать деньги жертвы. Помогает им популярность платежей телефоном. Только за третий квартал 2025 года в одной РФ таких атак замечено более 44 тысяч, в полтора раза больше, чем кварталом ранее.
Существует две основных схемы обмана — «прямой» и «обратный» NFC.
«Прямой NFC» — мошенник связывается с жертвой в мессенджере и уговаривает скачать приложения якобы для подтверждения личности в банке. Если жертва согласится и установит приложение, ее попросят приложить банковскую карту к задней панели телефона и ввести ПИН-код. После этого данные карты попадают к преступникам, которые могут снимать с нее деньги и совершать покупки.
«Обратный NFC» — более изощренная схема. Мошенник присылает вредоносный APK-файл и убеждает установить это новое приложение как основной способ бесконтактной оплаты. Приложение генерирует через NFC сигнал, который распознается банкоматами как карта злоумышленника. Затем жертву уговаривают подойти к банкомату с зараженным телефоном и внести деньги на свой «безопасный счет». В реальности средства поступают на счет мошенника.
Оба этих способа мы детально рассмотрели в посте Атаки на бесконтактные платежи по NFC.
Используется NFC и для «обналичивания» денег с карт, информацию о которых выманили на фишинговых веб-сайтах. Злоумышленники пытаются привязать карту к мобильному кошельку на своем смартфоне — об этой схеме мы подробно писали в посте Apple, Google, NFC: как расплачиваются украденными у вас картами.
Суета вокруг блокировок
Во многих странах мира на те или иные сайты теперь так просто не попасть. Где-то они заблокированы местными регуляторами Интернета или провайдерами по решению суда, где-то при входе нужно пройти идентификацию на возраст, представившись и предъявив документы, где-то сайты сами блокируют пользователей из определенных стран, чтобы не возиться с соблюдением странового законодательства. Пользователи пытаются обходить эти ограничения — и зачастую платят за это своими данными или деньгами.
Многие популярные приложения обхода блокировок, особенно бесплатные, сами следят за пользователями. В недавнем тесте обнаружилось, что более 20 популярных сервисов с суммарным числом загрузок более 700 млн следят за текущим местоположением пользователя. Также они используют ненадежное шифрование, из-за чего потенциально все данные их пользователей могут быть перехвачены посторонними.
Случаев, когда пользователю пытаются подсунуть вредоносное приложение под видом VPN-сервиса, стало гораздо больше по ноябрьским данным Google.
Права, которые и в самом деле нужны приложению такого класса, прекрасно подходят для перехвата данных и махинаций с посещаемыми веб-сайтами. И злоумышленникам гораздо проще убедить жертву выдать административные привилегии приложению, отвечающему за интернет-доступ, нежели игре или музыкальному плееру. Стоит ожидать, что популярность этой схемы и дальше будет нарастать.
Троян в заводской упаковке
Даже осторожные пользователи становятся жертвой заражения, если поддадутся желанию сэкономить. В разных частях мира в 2025 году фиксировались случаи, когда устройство было заражено трояном уже в момент покупки. Обычно это были либо смартфоны малоизвестных производителей, либо подделки под известные бренды, купленные на онлайн-маркетплейсах. Но угрозе оказались подвержены не только смартфоны, но и ТВ-приставки, планшеты, «умные» ТВ и даже фоторамки.
До конца непонятно, происходит ли заражение прямо на заводе или же по пути с завода к двери покупателя, но при первом включении смартфон уже инфицирован. Обычно в нем обнаруживается сложный зловред Triada, впервые обнаруженный аналитиками «Лаборатории Касперского» еще в 2016 году. Он умеет внедрять себя в каждое запущенное приложение и перехватывать информацию: красть токены доступа и пароли популярных мессенджеров и соцсетей, воровать SMS (кто сказал «коды подтверждения»?), перенаправлять пользователя на сайты с рекламой и запускать прямо на телефоне прокси, чтобы злоумышленники могли попадать на любые сайты от лица жертвы.
Технически троян внедрен прямо в прошивку смартфона, и удалить его можно, только перепрошив устройство «чистой» версией. Как правило, при этом оказывается, что памяти у смартфона куда меньше, чем заявлено, — то есть прошивка «врет» владельцу, чтобы продать дешевую конфигурацию устройства под видом более дорогой.
Другой распространенный предустановленный вредонос — ботнет BADBOX 2.0, также выполняющий роль прокси и занимающийся махинациями с рекламой. Он «специализируется» на телеприставках и других подобных устройствах.
Как продолжить пользоваться Android и не сойти с ума
Несмотря на растущие угрозы, безопасно пользоваться Android-смартфоном все же можно! Надо лишь строго соблюдать «правила мобильной гигиены».
- Устанавливайте комплексное защитное решение на все свои смартфоны. Мы рекомендуем Kaspersky для Android для защиты от вредоносного ПО и фишинга.
- Избегайте установки приложений из APK, если можно воспользоваться магазином приложений. Лучше известный вам, пусть и не крупнейший, магазин приложений, чем APK с сайта. Если другого выхода нет — скачивайте APK-файлы только с официальных сайтов компаний, внимательно проверяя адрес страницы, на которую вы попали. Если вы не уверены доподлинно, какой у организации официальный сайт, не ограничивайтесь поиском в Google/Yandex, проверьте официальные каталоги компаний или хотя бы Wikipedia, чтобы уточнить верный адрес.
- При установке внимательно читайте предупреждения операционной системы и не давайте разрешений, если требуемые права и действия кажутся нелогичными и лишними для приложения, которое вы ставите.
- Ни в коем случае не устанавливайте приложения из ссылок и вложений в чатах, e-mail и подобных каналов связи.
- Никогда не прикладывайте банковскую карту к телефону. Не существует никаких сценариев, когда это было бы нужно для вашего блага.
- Не вводите ПИН-код банковской карты в приложения в телефоне. ПИН может запросить исключительно банкомат или платежный терминал.
- Покупайте смартфоны и другую технику в официальных магазинах, избегайте брендов, названия которых не на слуху. Помните: если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, так оно и есть.
Какие еще угрозы были популярны для Android в 2025 году:
Советы