Dr.Web

Doctor Web: ringkasan aktivitas virus pada triwulan pertama tahun 2026

Ulasan Viral

Berdasarkan statistik deteksi antivirus Dr.Web, jumlah total ancaman yang terdeteksi menurun sebesar 6,77% pada triwulan pertama 2026 dibandingkan triwulan ke-4 tahun sebelumnya. Jumlah ancaman unik menurun sebesar 11,98%. Ancaman yang paling sering terdeteksi pada perangkat yang dilindungi adalah adware dan trojan iklan, program downloader berbahaya, dan backdoor.

Script berbahaya, backdoor, dan berbagai aplikasi trojan paling sering ditemukan dalam lalu lintas e-mail. Penyerang juga mendistribusikan dokumen phishing dan exploit melalui e-mail.

Pengguna yang filenya terpengaruh oleh trojan encoder paling sering menemukan Trojan.Encoder.35534, Trojan.Encoder.29750 dan Trojan.Encoder.41868.

Pada triwulan pertama tahun 2026 para analis internet Dr.Web mengidentifikasi situs web phishing baru, termasuk situs lembaga kredit dan marketplace palsu, serta sejumlah situs tidak diinginkan lainnya.

Di segmen perangkat mobile tercatat peningkatan aktivitas trojan perbankan. Pada saat yang sama, analis virus kami mendeteksi meningkatnya popularitas metode perlindungan malware dari deteksi antivirus dengan menambahkan garbage code ke dalamnya.

Pada bulan Januari para ahli Doctor Web melaporkan adanya trojan clicker Android.Phantom yang menggunakan machine learning dan streaming video untuk memanipulasi klik pada situs web. Selain itu, selama tiga bulan terakhir kami telah mencatat munculnya malware baru di katalog Google Play, termasuk trojan yang mendaftarkan pengguna ke layanan berbayar.

Tren utama triwulan pertama

  • Jumlah ancaman yang terdeteksi pada perangkat yang dilindungi telah menurun
  • Jumlah file unik di antara ancaman yang terdeteksi telah menurun
  • Dibandingkan dengan periode pemantauan sebelumnya, jumlah permintaan yang tercatat untuk mendekripsi file yang terpengaruh oleh trojan encoder telah menurun
  • Aktivitas trojan perbankan untuk perangkat Android terus meningkat
  • Pengguna terancam oleh malware clicker Android.Phantom yang menggunakan teknologi pembelajaran mesin antara lain untuk memanipulasi klik pada situs web.
  • Program berbahaya baru ditemukan di katalog Google Play 

Berdasarkan data layanan statistik Doctor Web

Perangkat lunak berbahaya dan iklan yang paling sering ditemukan

berdasarkan data layanan statistik Doctor Web  

Triwulan ke-4 tahun 2025    Triwulan pertama tahun 2026

Image 1 of 1

Ancaman yang paling sering terdeteksi pada triwulan pertama tahun 2026:

  • Trojan.Siggen31.34463

Trojan yang dibuat dalam bahasa pemrograman Go dan ditujukan untuk mengunduh berbagai solusi penambang dan adware ke dalam sistem yang dijadikan target. Malware ini berupa file DLL yang terletak di [string]%appdata%\utorrent\lib.dll[/string]. Untuk peluncuran malware ini memanfaatkan kerentanan kelas DLL Search Order Hijacking pada klien torrent uTorrent.

  • Adware.Downware.20655
  • Adware.Downware.20766

Adware yang menjadi perantara dalam instalasi program bajakan.

  • Trojan.BPlug.4268

Deteksi komponen berbahaya ekstensi browser WinSafe. Komponen ini merupakan skenario JavaScript yang menayangkan iklan yang mengganggu dalam browser.

  • Adware.Siggen.33379

Pemblokir iklan browser palsu Adblok Plus yang dipasang pada sistem oleh aplikasi berbahaya lainnya dengan tujuan menampilkan iklan.

Statistik program berbahaya dalam lalu lintas e-mail

Program berbahaya

yang paling sering ditemukan dalam lalu lintas e-mail

Image 1 of 1

  Triwulan ke-4 tahun 2025    Triwulan pertama tahun 2026
Ancaman yang paling sering terdeteksi dalam lalu lintas e-mail pada triwulan pertama tahun 2026:

  • JS.DownLoader.1225
    Deteksi heuristik untuk arsip ZIP yang berisi script JavaScript dengan nama yang mencurigakan.

  • W97M.DownLoader.2938

Sekelompok trojan downloader yang memanfaatkan kerentanan dokumen Microsoft Office. Trojan ini digunakan untuk download program berbahaya yang lain pada komputer yang diserang.

  • Exploit.CVE-2017-11882.123
  • Exploit.CVE-2018-0798.4

Exploit yang digunakan untuk memanfaatkan kerentanan software Microsoft Office, yang memungkinkan eksekusi kode sembarangan.

  • JS.Redirector.514

Script berbahaya yang mengalihkan pengguna ke halaman web yang dikontrol oleh para penjahat.

Encoder

Pada triwulan pertama tahun 2026 jumlah permintaan dekripsi file yang terdampak trojan encoder menurun sebesar 31,51% dibandingkan dengan triwulan ke-4 tahun lalu. Penurunan ini terjadi karena liburan Tahun Baru dan libur panjang terkait, di mana beberapa penjahat siber mungkin menghentikan aktivitasnya dan pergi berlibur. Sedangkan pengguna yang masih terdampak serangan trojan encoder selama periode ini mungkin lambat merespons insiden yang terjadi.

Dinamika permintaan dekripsi yang diterima oleh Layanan dukungan teknis Doctor Web:

Image 1 of 1

Encoder yang paling sering ditemukan pada triwulan pertama tahun 2026:

  • Trojan.Encoder.35534 — 15,59% permintaan pengguna
  • Trojan.Encoder.29750 — 3,23% permintaan pengguna
  • Trojan.Encoder.41868 — 3,23% permintaan pengguna
  • Trojan.Encoder.26996 — 1,62% permintaan pengguna
  • Trojan.Encoder.44383 — 1,61% permintaan pengguna

Penipuan online

Selama tiga bulan terakhir tim analis Internet Doctor Web telah mengidentifikasi sejumlah situs web marketplace palsu baru. Di situs web ini, para penipu menawarkan untuk berpartisipasi dalam "obral" pesanan yang seolah-olah tidak diklaim. Dalam skema penipuan ini, barang-barang "tidak diklaim" dari pesanan dibagi menjadi berbagai kategori (elektronik, pakaian, sepatu, kosmetik, dll.) dan seolah-olah dikumpulkan ke dalam kotak kejutan masing-masing. Isinya tidak diketahui dan bisa jadi termasuk barang-barang mahal juga. Calon korban ditawari kotak-kotak ini dengan harga yang relatif rendah, yang merupakan daya tarik utama.

Image 1 of 1

Situs marketplace palsu menjanjikan “obral pesanan yang tidak diklaim” yang katanya melebihi kapasitas gudang

Ketika pengguna memilih salah satu kotak, mereka akan diminta untuk melakukan pemesanan dan memberikan informasi pribadi, terkadang termasuk nama depan dan belakang, nomor telepon seluler dan alamat e-mail. Kemudian pengguna akan dialihkan ke halaman pembayaran melalui sistem pembayaran cepat. Pada akhirnya, korban kehilangan uang dan memberikan informasi rahasia kepada para penipu.

Image 1 of 1

Image 1 of 1

Setelah memproses “pesanan” korban ditawarkan untuk melakukan pembayaran melalui sistem pembayaran cepat

Para ahli kami juga mengidentifikasi banyak situs web yang menawarkan berbagai layanan keuangan, seperti mendapatkan pinjaman mikro, kredit, atau memproses kebangkrutan dengan cepat. Situs ini tidak menyediakan layanan tersebut secara langsung, seperti yang diharapkan pengguna, dan hanya bertindak sebagai perantara antara klien dan lembaga keuangan. Layanan ini mengenakan biaya untuk akses ke sejumlah opsi yang sesuai dengan kebutuhan, sementara kumpulan penawaran keuangan serupa sudah tersedia di situs web gratis. Selain itu, layanan-layanan ini tidak menjamin keberhasilan saat mengajukan permohonan. Lebih dari itu, akses bukanlah biaya sekali bayar, melainkan langganan berbayar dengan biaya yang ditarik secara berulang.

Image 1 of 1

Salah satu situs web di mana akses layanan pencarian penawaran keuangan merupakan layanan berbayar dan dijadikan langganan saat diproses

Dalam hal tertentu situs semacam itu dapat menyesatkan pengguna dengan menawarkan suatu layanan, seperti pekerjaan, tetapi sebenarnya menyediakan akses berlangganan ke penawaran keuangan yang sama untuk mendapat kredit, pinjaman mikro dll.

Image 1 of 1

Situs web yang menawarkan bantuan dalam mencari pekerjaan, namun setelah akses layanan dibayar, terkadang yang muncul bukan daftar lowongan tetapi penawaran keuangan dari mitranya untuk mendapat kredit, pinjaman mikro dll.

Situs web phishing yang teridentifikasi pada triwulan pertama mencakup situs web palsu untuk lomba lari amal Green Marathon. Situs web ini mendorong pengunjung untuk mendaftar maraton, tetapi sebenarnya tidak ada kaitan dengan acara tersebut dan dirancang untuk mengumpulkan data rahasia pengguna.

Image 1 of 1

Salah satu situs palsu lomba lari Green Marathon

Analis Internet Doctor Web juga mengidentifikasi situs web layanan investasi palsu yang baru, yang seolah-olah berafiliasi dengan berbagai lembaga kredit, termasuk situs web yang menargetkan audiens dari Rusia, Kazakhstan dan negara-negara lain. Para penipu menjanjikan calon korban pendapatan yang tinggi, dan untuk "mengakses" platform investasi palsu tersebut meminta mereka untuk menyelesaikan survei singkat serta mendaftarkan akun dengan informasi pribadi.

Image 1 of 1

Contoh situs web phishing yang disamarkan penipu sebagai situs web resmi layanan investasi salah satu bank Rusia

Image 1 of 1

Contoh situs web phishing yang disamarkan penipu sebagai situs web resmi layanan investasi salah satu lembaga kredit Kazakhstan

Perangkat lunak berbahaya dan tidak diinginkan untuk perangkat mobile

Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, peningkatan aktivitas trojan perbankan Android.Banker yang diamati pada triwulan ke-4 tahun lalu terus berlanjut pada triwulan pertama tahun 2026. Yang paling umum di antaranya adalah trojan dari sub kelompok Android.Banker.Mamont. Pada saat yang sama, deteksi trojan iklan Android.MobiDash dan Android.HiddenAds kembali menurun.

Ancaman utama yang terdeteksi dari seluruh perangkat lunak dengan potensi bahaya adalah program yang dimasukkan garbage code menggunakan alat modifikasi (terdeteksi sebagai Tool.Obfuscator.TrashCode). Metode ini aktif digunakan saat ini untuk melindungi trojan perbankan dari deteksi antivirus. Selain itu, aplikasi yang dimodifikasi menggunakan utilitas NP Manager (terdeteksi sebagai Tool.NPMod) tetap tersebar luas.

Perangkat lunak tidak diinginkan yang paling sering terdeteksi adalah program antivirus palsu Program.FakeAntiVirus yang mendorong pengguna untuk membeli versi lengkapnya untuk "mengatasi" ancaman yang diduga terdeteksi. Program adware yang paling aktif pada triwulan pertama adalah Adware.Bastion.1.origin dan Adware.Opensite.15. Yang pertama adalah aplikasi optimasi yang membuat notifikasi keliru tentang memori rendah dan kesalahan sistem untuk menampilkan iklan selama proses "optimasi." Yang kedua adalah program cheat palsu untuk mendapatkan berbagai sumber daya dalam game, tetapi pada kenyataannya, program tersebut hanya memuat situs web berisi iklan.

Pada bulan Januari 2026 laboratorium antivirus kami memperingatkan tentang trojan clicker Android.Phantom. Aplikasi berbahaya ini menggunakan machine learning dan streaming video untuk memanipulasi klik pada situs web. Penjahat siber mendistribusikannya melalui beberapa metode, antara lain melalui katalog GetApps untuk perangkat Xiaomi, channel Telegram, server Discord, kumpulan perangkat lunak pihak ketiga dan situs web berbahaya.

Selama tiga bulan terakhir analis virus Doctor Web telah mengidentifikasi ancaman baru di katalog Google Play, termasuk aplikasi trojan Android.Joker dan Android.Subscription yang dirancang untuk membuat pengguna berlangganan layanan berbayar.

Kejadian paling signifikan terkait keamanan mobile pada triwulan pertama

  • Trojan perbankan Android.Banker menjadi ancaman paling umum untuk perangkat Android
  • Para penjahat siber semakin sering menggunakan alat modifikasi aplikasi Android untuk melindungi trojan perbankan dari deteksi antivirus
  • Penurunan aktivitas trojan iklan Android.MobiDash dan Android.HiddenAds terus berlanjut
  • Pengguna terancam oleh trojan Android.Phantom yang menggunakan machine learning dan streaming video untuk memanipulasi klik di situs web
  • Aplikasi berbahaya kembali disebarkan melalui katalog Google Play

Untuk informasi lebih lanjut mengenai situasi virus untuk perangkat mobile pada triwulan pertama tahun 2026, baca ringkasan kami [link ringkasan].