Doctor Web: ringkasan aktivitas virus untuk perangkat mobile pada triwulan pertama tahun 2026
Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan pertama tahun 2026 aktivitas malware Android.MobiDash dan Android.HiddenAds yang menayangkan iklan yang mengganggu terus menurun, dengan jumlah deteksinya pada perangkat yang dilindungi menurun masing-masing 32,70% dan 7,09% dibandingkan triwulan ke-4 tahun sebelumnya. Kedua malware ini kalah sama trojan perbankan dari kelompok Android.Banker yang aktivitasnya meningkat lebih dari 2,5 kali lipat selama tiga bulan terakhir sehingga menjadi ancaman Android yang paling sering ditemukan. Aplikasi berbahaya ini mencegat pesan SMS yang berisi kode konfirmasi transaksi perbankan, menampilkan jendela phishing, dan juga dapat meniru tampilan perangkat lunak perbankan yang sah untuk mencuri data rahasia. Pengguna paling sering menemukan trojan dari sub kelompok Android.Banker.Mamont yang mencakup berbagai malware.
Aplikasi dengan garbage code yang ditambahkan menggunakan alat peretasan modding NP Manager untuk mengaburkan logikanya tersebar luas (15,35% dari seluruh hasil deteksi) pada triwulan pertama. Sejak musim gugur lalu, alat-alat ini telah aktif digunakan dalam trojan dari kelompok Android.Banker.Mamont untuk menghindari deteksi oleh perangkat lunak antivirus, oleh karena itu kami memperingatkan Anda jika sebuah aplikasi telah dimodifikasi. Produk antivirus Dr.Web mendeteksi program ini sebagai Tool.Obfuscator.TrashCode.
Jenis perangkat lunak dengan potensi bahaya lainnya yang tersebar luas adalah program yang dimodifikasi menggunakan utilitas NP Manager (terdeteksi oleh Dr.Web sebagai Tool.NPMod), meskipun telah terjadi penurunan deteksinya sebesar 31,65%. Utilitas ini berisi berbagai modul untuk melindungi dan mengaburkan kode program, serta melewati verifikasi tanda tangan digital setelah modifikasi. Penjahat siber menggunakannya untuk melindungi malware, sehingga lebih sulit dideteksi oleh perangkat lunak antivirus.
Aplikasi tidak diinginkan yang paling sering ditemukan adalah antivirus palsu Program.FakeAntiVirus yang seolah-olah mendeteksi ancaman dan mengharuskan pengguna membeli versi lengkapnya untuk "mengatasi" ancaman tersebut. Pengguna juga kembali menemukan program dari kelompok Program.FakeMoney dan Program.CloudInject. Yang pertama seolah-olah memungkinkan pengguna untuk mendapatkan uang dengan menyelesaikan berbagai tugas. Yang kedua adalah perangkat lunak yang dimodifikasi melalui layanan cloud CloudInject. Perangkat lunak ini digunakan untuk menambahkan izin sistem berbahaya dan kode yang disamarkan yang fungsinya tidak dapat dikendalikan ke dalam aplikasi.
Di antara adware, program optimasi Adware.Bastion.1.origin adalah yang paling sering terdeteksi. Program ini secara berkala membuat notifikasi dengan pesan menyesatkan tentang memori yang rendah dan kesalahan sistem. Tujuannya adalah untuk menampilkan iklan selama proses "optimasi". Adware populer lainnya adalah Adware.Opensite.15 yang disamarkan oleh penyerang sebagai alat untuk mendapatkan sumber daya dalam game. Padahal program ini memuat berbagai situs web berisi iklan. Program dengan modul iklan Adware.AdPush yang tertanam lagi-lagi tersebar luas pula.
Pada bulan Januari, Doctor Web menginformasikan kepada pengguna tentang Android.Phantom, kelompok baru aplikasi clicker berbasis trojan. Analis virus kami mengidentifikasi beberapa sumber distribusi malware ini. Di antaranya ada katalog aplikasi resmi GetApps untuk perangkat Xiaomi, di mana trojan disematkan dalam sejumlah game. Penjahat siber juga mendistribusikan clicker beserta mod untuk aplikasi populer melalui berbagai channel Telegram, server Discord, koleksi perangkat lunak online, dan situs web berbahaya.
Dengan menggunakan Android.Phantom, penyerang memanipulasi klik iklan di situs web menggunakan teknologi machine learning dan WebRTC, sebuah teknologi untuk mengirimkan data streaming (termasuk video) melalui browser. Trojan memuat situs web yang ditargetkan dalam WebView yang tidak terlihat bersama dengan kode JavaScript untuk mensimulasikan tindakan pengguna. Interaksi dengan iklan terjadi dalam salah satu dari dua mode. Jika perangkat mendukung WebRTC, clicker Android.Phantom akan menayangkan layar virtual dengan situs web yang dimuat ke penyerang, sehingga penyerang dapat mengontrolnya secara manual atau menggunakan sistem otomatis.
Jika WebRTC tidak dapat diakses, maka yang digunakan adalah script JavaScript otomatis dengan framework TensorFlowJS. Clicker mengunduh model perilaku yang dibutuhkan serta JavaScript yang berisi framework dan semua fungsi yang diperlukan agar model dapat berfungsi dan berinteraksi dengan situs web yang ditargetkan dari server jarak jauh.
Selama triwulan pertama laboratorium antivirus Doctor Web mendeteksi munculnya ancaman baru di katalog Google Play. Di antaranya ada banyak aplikasi trojan Android.Joker, serta malware Android.Subscription.23 dan Android.Subscription.24. Ancaman-ancaman ini dirancang untuk mengelabui pengguna agar berlangganan layanan berbayar.
TREN UTAMA TRIWULAN PERTAMA
- Trojan perbankan Android.Banker menjadi ancaman Android yang paling umum
- Penyerang lebih sering menggunakan alat untuk modding program Android guna melindungi trojan perbankan
- Aktivitas trojan iklan Android.MobiDash dan Android.HiddenAds terus menurun
- Aplikasi Trojan Android.Phantom yang menggunakan machine learning dan siaran video untuk meningkatkan jumlah klik di situs web semakin tersebar luas
- Aplikasi berbahaya baru ditemukan di katalog Google Play
Berdasarkan data Dr.Web Security Space untuk perangkat mobile
Program berbahaya yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-4 tahun 2025 Triwulan pertama tahun 2026
- Android.Banker.Mamont.80.origin
Trojan perbankan yang mencegat SMS dengan kode sekali pakai dari lembaga kredit serta isi pesan, dan juga mengumpulkan informasi rahasia lainnya, termasuk data teknis perangkat yang terkena, daftar aplikasi terinstal, informasi SIM card, data panggilan telepon, serta SMS masuk dan terkirim.
- Android.FakeApp.1600
Program trojan yang mengunduh situs yang tercantum dalam settingnya. Modifikasi yang dikenal dari aplikasi membahayakan itu mengunduh situs kasino online.
- Android.HiddenAds.675.origin
Program trojan yang digunakan untuk menayangkan iklan yang mengganggu. Trojan dari kelompok Android.HiddenAds sering disebarkan dengan disamarkan sebagai aplikasi yang tidak berbahaya, dan dalam keadaan tertentu diinstal ke dalam katalog sistem oleh perangkat lunak berbahaya lainnya. Setelah masuk pada perangkat Android trojan iklan ini biasanya menyembunyikan kehadirannya dalam sistem dari pengguna, misalnya, dengan “menyembunyikan” ikon aplikasinya dalam menu layar utama.
- Android.Packed.57.origin
Deteksi pengabur kode (obfuscator) yang digunakan antara lain untuk melindungi aplikasi berbahaya (misalnya, beberapa versi trojan perbankan Android.SpyMax).
- Android.Click.1812
Deteksi mod berbahaya messenger WhatsApp yang dapat mengunduh berbagai website di latar belakang tanpa diketahui pengguna.
Program tidak diinginkan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-4 tahun 2025 Triwulan pertama tahun 2026
Deteksi program iklan yang mengimitasikan aktivitas dari perangkat lunak antivirus. Program tersebut juga dapat melaporkan ancaman yang sebenarnya tidak ada dan membuat para pengguna keliru dengan meminta pembayaran untuk membeli versi lengkap.
Deteksi aplikasi yang seolah-olah memberi kesempatan untuk mendapat pembayaran dari hasil menyelesaikan kegiatan atau tugas tertentu. Program ini melakukan imitasi pemberian upah di mana untuk mengeluarkan dana “hasil kerja” perlu menabung jumlah uang tertentu. Biasanya di situ disediakan daftar sistem pembayaran dan bank populer yang seolah-olah dapat digunakan untuk transfer dananya. Tetapi bahkan kalau pengguna berhasil menabung dana yang cukup untuk ditransfer keluar, pembayaran yang dijanjikan tidak diterima. Catatan ini juga digunakan untuk deteksi perangkat lunak lain yang tidak diinginkan yang didasarkan pada kode program tersebut.
Deteksi aplikasi Android yang dimodifikasikan dengan menggunakan layanan cloud CloudInject dan utilitas Android dengan nama yang sama (dicantumkan ke dalam database virus Dr.Web dengan nama Tool.CloudInject). Program ini dimodifikasikan di server jarak jauh, sedangkan pengguna yang ingin melakukan modifikasinya (modder) tidak dapat mengontrol apa saja yang akan diinstal di dalamnya. Selain itu, aplikasi juga mendapat sejumlah ekstensi yang berbahaya. Setelah modifikasi program modder mendapat kemampuan untuk mengelolanya dari jauh termasuk memblokir, menunjukkan dialog yang diatur, melacak instalasi dan penghapusan perangkat lunak yang lain dll.
- Program.SnoopPhone.1.origin
Aplikasi untuk memantau pemilik perangkat Android. Aplikasi ini memungkinkan membaca pesan SMS, mendapatkan informasi panggilan telepon, melacak lokasi, dan merekam suara di sekitar.
Program dengan potensi ancaman yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-4 tahun 2025 Triwulan pertama tahun 2026
Deteksi program Android yang telah dimodifikasi dengan menggunakan alat peretas dan ditambahkan garbage code. Modifikasinya dilakukan untuk mengaburkan logika program. Teknik ini sering ditemukan pada trojan perbankan dan versi perangkat lunak bajakan.
- Tool.NPMod.3
- Tool.NPMod.1
Deteksi aplikasi Android yang dimodifikasikan dengan utilitas NP Manager. Utilitas ini berisi modul untuk mengaburkan dan melindungi kode program, serta melewati verifikasi tanda tangan digital setelah modifikasi. Pengaburan yang ditambahkan sering digunakan dalam malware untuk menghambat deteksi dan analisisnya.
- Tool.LuckyPatcher.2.origin
Utilitas yang memberikan kesempatan untuk melakukan modifikasi aplikasi Android yang diinstal (menciptakan patch untuk aplikasi dimaksud) dengan tujuan mengubah logika berfungsinya aplikasi atau menghindari berbagai keterbatasan. Misalnya, dengan utilitas tersebut pengguna dapat mencoba nonaktifkan pemeriksaan akses root di program perbankan atau mendapat sumber daya yang tidak terbatas dalam games. Untuk menciptakan patch utilitas ini mengunggah dari Internet script khusus yang telah disiapkan yang dapat diciptakan oleh siapapun dan dicantumkan ke dalam database umum. Fungsionalitas script dimaksud dapat antara lain menjadi berbahaya, oleh karena itu patch yang diciptakan berpotensi membawa ancaman.
Program iklan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-4 tahun 2025 Triwulan pertama tahun 2026
- Adware.Bastion.1.origin
Deteksi program optimasi yang secara berkala membuat notifikasi dengan pesan menyesatkan tentang dugaan memori rendah dan kesalahan sistem untuk menampilkan iklan selama proses "optimasi."
- Adware.AdPush.3.origin
Modul iklan yang dapat diintegrasikan dalam program Android. Modul tersebut menampilkan pesan bersifat iklan yang membuat para pengguna keliru. Misalnya, bentuk pesannya bisa mirip dengan pemberitahuan sistem operasional. Selain itu, modul tersebut mengumpulkan sejumlah data rahasia, serta dapat mengunduh aplikasi lain dan menginisiasikan instalasinya.
- Adware.Opensite.15
Aplikasi yang menyamar sebagai alat cheat untuk mendapatkan sumber daya dalam game dan sebenarnya dirancang untuk menampilkan iklan. Program-program ini menerima konfigurasi dari server jarak jauh, yang kemudian memuat situs web target dengan iklan termasuk banner, pop-up, video, dan lain sebagainya.
- Adware.Fictus.1.origin
Modul iklan yang dipasang oleh para penjahat ke dalam versi clone dari games dan program populer untuk Android. Integrasinya ke dalam program dilakukan dengan menggunakan packer khusus net2share. Salinan perangkat lunak yang dibuat dengan cara tersebut disebarkan melalui berbagai katalog aplikasi dan setelah diinstal akan tampilkan iklan yang tidak diinginkan.
- Adware.Airpush.7.origin
Modul program yang tertanam dalam aplikasi Android dan menampilkan berbagai iklan. Tergantung pada versi dan modifikasinya, iklan tersebut dapat berupa notifikasi, pop-up, atau banner. Penyerang sering menggunakan modul ini untuk menyebarkan malware dengan mendorong pengguna untuk menginstal perangkat lunak tertentu. Selain itu, modul ini mengirimkan berbagai informasi rahasia ke server jarak jauh.
Ancaman di Google Play
Pada triwulan pertama tahun 2026 para spesialis laboratorium antivirus Doctor Web menemukan sejumlah aplikasi Android.Joker berbahaya yang baru di Google Play, yang mendaftarkan korban ke layanan berbayar. Trojan disembunyikan di sejumlah utilitas optimasi Android dan juga didistribusikan dengan disamarkan sebagai messenger, aplikasi multimedia, dan perangkat lunak lainnya. Secara total pengguna telah menginstalnya setidaknya 370.000 kali.
Contoh malware Android.Joker yang ditemukan di Google Play pada triwulan pertama tahun 2026. Android.Joker.2511 diinstal dalam messenger Private Chat Message, sedangkan Android.Joker.2524 diinstal dalam program kamera foto Magic Camera
Selain itu, analis malware kami mendeteksi program berbahaya Android.Subscription.23 dan Android.Subscription.24 yang juga dirancang untuk membuat pengguna berlangganan layanan berbayar. Trojan ini memuat situs web yang mengaktifkan langganan seluler berbayar menggunakan teknologi WapClick. Situs web ini meminta nomor telepon seluler pengguna, setelah itu mencoba untuk mengaktifkan layanan tersebut secara otomatis. Kedua aplikasi berbahaya ini telah diunduh dari Google Play dengan total lebih dari 1.500.000 kali.
Program berbahaya Android.Subscription.23 dan Android.Subscription.24 disebarkan dengan disamarkan sebagai aplikasi Stream Hive dan Prime Link untuk mengelola keuangan pribadi, namun fungsi satu-satunya adalah memuat situs web untuk membuat pengguna perangkat Android berlangganan layanan seluler berbayar
Untuk melindungi perangkat Android dari program berbahaya dan tidak diinginkan para pengguna perlu menginstal produk antivirus Dr.Web untuk Android.