Doctor Web: ringkasan aktivitas virus untuk perangkat mobile pada triwulan ke-2 tahun 2025

2 Juli 2025

Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-2 tahun 2025 malware yang paling sering ditemukan lagi-lagi adalah trojan iklan dari berbagai kelompok. Aktivitas yang paling tinggi tercatat pada kelompok Android.HiddenAds, walaupun trojan dari kelompok tersebut 8,62% lebih jarang dihadapi pelanggan. Berikutnya adalah trojan iklan Android.MobiDash yang jumlah serangannya meningkat 11,17%. Malware Android.FakeApp yang digunakan dalam berbagai skema penipuan menempati urutan ketiga dari top-3 malware, dengan jumlah deteksi yang berkurang 25,17% pada perangkat yang dilindungi.

Tercatat peningkatan aktivitas trojan bank Android.Banker sebesar 73,15% dibandingkan triwulan sebelumnya. Pada saat yang sama sejumlah kelompok lain semakin jarang terdeteksi; misalnya deteksi Android.BankBot menurun sebesar 37,19%, dan Android.SpyMax sebesar 19,14%.

Pada bulan April tim analis virus kami menginformasikan tentang temuan kampanye besar pencurian mata uang kripto dari pemilik smartphone Android. Dalam rangka kampanye tersebut para penjahat menyusupkan trojan Android.Clipper.31 di firmware sejumlah perangkat murah dengan menyembunyikannya dalam versi modifikasi aplikasi WhatsApp. Malware ini menyadap pesan yang dikirim dan diterima melalui messenger, mencari alamat dompet kripto Tron dan Ethereum di dalamnya dan menggantinya dengan alamat milik penipu. Pada saat yang sama, trojan menyembunyikan penggantian tersebut, dan pengguna perangkat yang terkena melihat dompet yang "sebenarnya" dalam pesan tersebut. Selain itu, Android.Clipper.31 mengirimkan semua gambar jpg, png dan jpeg ke server jarak jauh untuk mencari frasa mnemonik dompet kripto para korban di dalamnya.

Pada bulan itu juga kami ceritakan tentang trojan spy yang menargetkan personel militer Rusia. Malware Android.Spy.1292.origin disembunyikan dalam salah satu versi modifikasi perangkat lunak pemetaan Alpine Quest. Malware ini disebarkan baik melalui channel Telegram palsu aplikasi tersebut milik penyerang maupun melalui katalog aplikasi Android Rusia. Android.Spy.1292.origin mengirimkan berbagai data rahasia kepada para penyerang. Di antaranya ada akun pengguna, nomor ponsel, kontak dari daftar nomor telepon, informasi tentang geolokasi perangkat dan tentang file yang tersimpan di dalamnya. Atas perintah para penyerang trojan ini dapat mencuri file tertentu. Secara khusus, pencipta virus ini tertarik pada dokumen rahasia yang dikirim melalui messenger populer, serta file log lokasi Alpine Quest.

Pada saat yang sama, selama periode pengamatan terakhir laboratorium virus Doctor Web menemukan ancaman baru dalam katalog Google Play. Di antaranya ada berbagai jenis trojan serta perangkat lunak iklan yang tidak diinginkan.

TREND UTAMA TRIWULAN KEDUA

• Aktivitas trojan iklan Android.HiddenAds menurun
• Aktivitas trojan iklan Android.MobiDash meningkat
• Trojan bank Android.Banker lebih sering terdeteksi pada perangkat yang dilindungi dibandingkan triwulan sebelumnya
• Jumlah serangan dari kelompok trojan bank Android.BankBot dan Android.SpyMax menurun
• Trojan yang ditujukan untuk mencuri mata uang kripto telah ditemukan di firmware beberapa smartphone Android murah
• Penyerang menyebarkan trojan yang memata-matai personel militer Rusia
• Ancaman baru ditemukan dalam katalog Google Play

#Statistik

Berdasarkan data Dr.Web Security Space untuk perangkat mobile

Program berbahaya yang paling sering ditemukan

berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

• Android.HiddenAds.657.origin
• Android.HiddenAds.4214
• Android.HiddenAds.4213

Program trojan untuk tayangan iklan yang tidak diinginkan. Program dari kelompok Android.HiddenAds sering disebarkan dengan disamarkan sebagai aplikasi yang tidak berbahaya dan dalam hal tertentu diinstal dalam katalog sistem oleh perangkat lunak berbahaya yang lain. Setelah masuk di perangkat Android, trojan iklan ini biasanya menyembunyikan diri dari pengguna dalam sistem, misalnya dengan “menyembunyikan” ikon aplikasi dalam menu layar utama.

• Android.MobiDash.7859

Program trojan yang menampilkan iklan yang mengganggu. Program ini merupakan modul program yang ditanamkan oleh pengembang perangkat lunak ke dalam aplikasi. 

• Android.FakeApp.1600

Program trojan yang mengunduh website yang tercantum dalam settingnya. Modifikasi yang dikenal dari aplikasi membahayakan itu mengunduh situs kasino online.

Program tidak diinginkan yang paling sering ditemukan

berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

• Program.FakeMoney.11

Deteksi aplikasi yang seolah-olah memberi kesempatan untuk mendapat pembayaran dari hasil menyelesaikan kegiatan atau tugas tertentu. Program ini melakukan imitasi pemberian upah di mana untuk mengeluarkan dana “hasil kerja” perlu menabung jumlah uang tertentu. Biasanya di situ disediakan daftar sistem pembayaran dan bank populer yang seolah-olah dapat digunakan untuk transfer dananya. Tetapi bahkan kalau pengguna berhasil menabung dana yang cukup untuk ditransfer keluar, pembayaran yang dijanjikan tidak diterima. Catatan ini juga digunakan untuk deteksi perangkat lunak lain yang tidak diinginkan yang didasarkan pada kode program tersebut. 

• Program.CloudInject.1

Deteksi aplikasi Android yang dimodifikasikan dengan menggunakan layanan cloud CloudInject dan utilitas Android dengan nama yang sama (dicantumkan ke dalam database virus Dr.Web dengan nama Tool.CloudInject). Program ini dimodifikasikan di server jarak jauh, sedangkan pengguna yang ingin melakukan modifikasinya (modder) tidak dapat mengontrol apa saja yang akan diinstal di dalamnya. Selain itu, aplikasi juga mendapat sejumlah ekstensi yang berbahaya. Setelah modifikasi program modder mendapat kemampuan untuk mengelolanya dari jauh termasuk memblokir, menunjukkan dialog yang diatur, melacak instalasi dan penghapusan perangkat lunak yang lain dll. 

• Program.FakeAntiVirus.1

Deteksi program iklan yang mengimitasikan aktivitas dari perangkat lunak antivirus. Program tersebut juga dapat melaporkan ancaman yang sebenarnya tidak ada dan membuat para pengguna keliru dengan meminta pembayaran untuk membeli versi lengkap.

• Program.TrackView.1.origin

Deteksi aplikasi yang memberikan kesempatan untuk mengamati pengguna melalui perangkat Android. Dengan menggunakan program ini para penjahat dapat mendeteksi lokasi keberadaan perangkat yang dituju, menggunakan kamera untuk merekam video dan membuat foto, melakukan penyadapan via mikrofon, membuat rekaman audio dll.

• Program.SecretVideoRecorder.1.origin

Mendeteksi berbagai versi aplikasi perekaman foto dan video pada mode latar belakang melalui kamera bawaan perangkat Android. Program ini dapat berfungsi tanpa diketahui dengan menonaktifkan notifikasi perekaman serta mengubah ikon dan deskripsi aplikasi dengan yang palsu. Fungsi-fungsi ini membuatnya berpotensi berbahaya.

Program dengan potensi ancaman yang paling sering ditemukan

berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

• Tool.NPMod.3

• Tool.NPMod.1

Deteksi aplikasi Android yang dimodifikasikan dengan utilitas NP Manager. Di dalam program tersebut diunduh sebuah modul khusus yang membantu menghindari pemeriksaan tanda tangan digital setelah dimodifikasi. 

• Tool.Androlua.1.origin

Deteksi sejumlah versi yang memiliki potensi bahaya dari framework khusus yang digunakan untuk pengembangan program Android dalam bahasa pemrograman script Lua. Logika utama aplikasi Lua ada pada script terkait yang dienkripsi dan diuraikan dengan interpretator sebelum pelaksanaan. Framework ini sering meminta akses pada banyak izin sistem secara otomatis agar dapat berfungsi. Hasilnya, script Lua yang dilaksanakan melalui framework ini dapat melaksanakan berbagai tindakan yang berbahaya sesuai dengan izin yang didapat. 

• Tool.SilentInstaller.14.origin

Platform program dengan potensi ancaman yang membiarkan aplikasi untuk meluncurkan file APK tanpa diinstal. Platform ini menciptakan lingkungan pelaksanaan virtual dalam konteks aplikasi di mana filenya terinstal. File yang diluncurkan dengan bantuannya dapat berfungsi seolah-olah filenya merupakan bagian dari program dimaksud dan secara otomatis mendapat izin yang sama. 

• Tool.Packer.1.origin

Utilitas packer khusus untuk perlindungan aplikasi Android dari modifikasi dan rekayasa balik. Utilitas ini tidak berbahaya tetapi dapat digunakan untuk melindungi baik program yang tidak membawa ancaman maupun program trojan.

Program iklan yang paling sering ditemukan

berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

• Adware.ModAd.1

Deteksi sejumlah versi yang dimodifikasi (mod) dari messenger WhatsApp dengan kode terpasang dalam fungsinya untuk pengunduhan link yang ditetapkan melalui tampilan web selama aktivitas dalam messenger. Dari alamat Internet tersebut akan dilakukan pengalihan ke situs yang diiklankan, misalnya kasino online dan penyelenggara taruhan, situs dewasa. 

• Adware.AdPush.3.origin

Modul iklan yang dapat diintegrasikan dalam program Android. Modul tersebut menampilkan pesan bersifat iklan yang membuat para pengguna keliru. Misalnya, bentuk pesannya bisa mirip dengan pemberitahuan sistem operasi. Selain itu, modul tersebut mengumpulkan sejumlah data rahasia, serta dapat mengunduh aplikasi lain dan menginisiasikan instalasinya. 

• Adware.Basement.1

Aplikasi yang tampilkan iklan yang tidak diinginkan yang sering mengarahkan pengguna ke situs yang berbahaya dan bersifat penipuan. Memiliki database kode yang sama dengan program yang tidak diinginkan Program.FakeMoney.11.

• Adware.Fictus.1.origin

Modul iklan yang diinstal oleh para penyerang ke dalam versi clone dari games dan program populer untuk Android. Integrasinya ke dalam program dilakukan dengan menggunakan packer khusus net2share. Salinan perangkat lunak yang dibuat dengan cara tersebut disebarkan melalui berbagai katalog aplikasi dan setelah diinstal akan tampilkan iklan yang tidak diinginkan.

• Adware.Jiubang.1

Adware yang tidak diinginkan untuk perangkat Android yang menampilkan banner dengan program yang direkomendasikan saat menginstal aplikasi. 

Ancaman di Google Play

Pada triwulan ke-2 tahun 2025 tim analis virus Doctor Web telah menemukan puluhan ancaman di katalog Google Play termasuk berbagai program palsu Android.FakeApp. Trojan ini kembali disebarkan secara aktif dengan disamarkan sebagai aplikasi bertema keuangan dan alih-alih menjalankan fungsi yang dijanjikan dapat memuat situs web penipuan.

 Android.FakeApp.1863 dan Android.FakeApp.1859 adalah contoh trojan yang terdeteksi. Yang pertama disembunyikan dalam program TPAO dan ditujukan pada pengguna Turki yang ditawarkan untuk "mengelola deposito dan pendapatannya dengan cara yang gampang." Yang kedua disamarkan oleh para penyerang sebagai "asisten keuangan" Quantum MindPro yang dirancang untuk audiens berbahasa Prancis

Kedok populer lainnya untuk program palsu semacam itu adalah games. Dalam kondisi tertentu, alih-alih fungsi permainan, program ini memuat situs web kasino online dan bandar taruhan daring.

Android.FakeApp.1840 (Pino Bounce) adalah salah satu game palsu yang dapat memuat situs web kasino online

Pada saat yang sama, tim ahli kami telah mengidentifikasi adware baru yang tidak diinginkan Adware.Adpush.21912. Adware tersebut disembunyikan dalam program berisi bahan informasi tentang mata uang kripto Coin News Promax. Adware.Adpush.21912 menampilkan pemberitahuan yang saat diklik memuat tautan yang ditentukan oleh server kontrol ke dalam WebView.

Untuk melindungi perangkat Android dari program berbahaya dan tidak diinginkan para pengguna perlu menginstal produk antivirus Dr.Web untuk Android.

Indikator kompromi