Doctor Web: ringkasan aktivitas virus pada triwulan ke-2 tahun 2026

8 Juli 2026

#Utama
Berdasarkan statistik deteksi antivirus Dr.Web, jumlah total ancaman yang terdeteksi meningkat sebesar 5,72% pada triwulan ke-2 tahun 2026 dibandingkan dengan triwulan pertama. Jumlah ancaman unik meningkat sebesar 95,32%. Malware yang paling sering terdeteksi pada perangkat yang dilindungi termasuk aplikasi iklan dan trojan adware, program penambang berbahaya, dan trojan yang digunakan untuk meluncurkan ancaman lain.

Dalam lalu lintas e-mail, script berbahaya dan berbagai aplikasi trojan yang paling sering terdeteksi termasuk downloader, dropper, pencuri kata sandi, dan penambang. Backdoor, dokumen phishing, dan berbagai exploit juga sering ditemukan.

Pengguna yang filenya terkena ransomware paling sering menghadapi Trojan.Encoder.35534, Trojan.Encoder.41868, dan Trojan.Encoder.37400. Namun, jumlah permintaan dekripsi yang diterima oleh Layanan dukungan teknis Doctor Web agak menurun dibandingkan dengan triwulan sebelumnya.

Pada triwulan ke-2 tahun 2026 para analis Internet Doctor Web mengamati peningkatan serangan phishing terhadap pengguna messenger MAX. Para penyerang juga memanfaatkan tren berita terkini untuk mengadaptasi penipuan populer.

Pada bulan April, kami ketahui bahwa salah satu update Microsoft Visual Studio Code mengandung kode berbahaya. Kode tersebut merupakan script trojan yang terdapat dalam library JavaScript publik es5-ext, yang disertakan dalam perangkat lunak yang diperbarui. Script ini diluncurkan saat zona waktu sesuai dengan beberapa kota di Rusia dan menampilkan ucapan sikap anti-Rusia di konsol pengembang.

Pada bulan Mei, kami memperingatkan tentang penyebaran malware JobStealer yang menargetkan pengguna Mac dan Windows. Para penjahat siber menyamarkannya sebagai perangkat lunak untuk wawancara online. Trojan JobStealer mencuri berbagai informasi rahasia, termasuk data dari sekitar 300 ekstensi browser yang menyimpan dompet mata uang kripto, file messenger Telegram, kata sandi dan detail kartu bank yang tersimpan di browser, serta file cookie.

Pada bulan Juni, para spesialis dari laboratorium antivirus Doctor Web melaporkan tentang trojan iklan baru, yaitu Android.MagicAd.1 yang dapat menampilkan iklan di mode latar belakang dengan melewati pembatasan dalam sistem operasi Android. Untuk itu, trojan menggunakan aplikasi pihak ketiga, memilih metode yang sesuai tergantung pada produsen perangkat yang dijadikan target.

Di antara aplikasi berbahaya untuk perangkat Android, trojan perbankan Android.Banker tetap yang paling sering terdeteksi pada perangkat yang dilindungi. Sementara itu, pembuat malware terus aktif menggunakan berbagai alat untuk memodifikasi aplikasi Android guna melindungi malwarenya dari deteksi antivirus. Di sisi lain, selama triwulan ke-2 analis virus kami menemukan sejumlah program trojan baru di katalog Google Play yang dibuat untuk mengelabui pengguna agar berlangganan layanan seluler berbayar.

Tren utama triwulan ke-2
Jumlah ancaman yang terdeteksi pada perangkat yang dilindungi telah meningkat.
Jumlah file unik di antara ancaman yang terdeteksi telah meningkat secara signifikan.
Jumlah permintaan untuk mendekripsi file yang terpengaruh oleh ransomware telah menurun dibandingkan dengan triwulan pertama.
Penipu semakin sering menargetkan pengguna mesenger Rusia MAX.
Trojan perbankan Android.Banker tetap menjadi malware paling umum untuk perangkat Android.
Para spesialis Doctor Web menemukan trojan iklan Android.MagicAd.1 yang mampu melewati batasan OS Android dan menampilkan iklan di mode latar belakang.
Pembuat virus menyebarkan malware JobStealer yang dirancang untuk mencuri data rahasia dari pengguna Mac dan Windows.
Kode berbahaya ditemukan dalam salah satu update Microsoft Visual Studio Code.

#Statistik
01_stat_q2_2026_en.png

Triwulan pertama tahun 2026    Triwulan ke-2 tahun 2026

Ancaman yang paling sering terdeteksi pada triwulan ke-2 tahun 2026

  • Adware.Downware.20091
  • Adware.Downware.20766
    Adware yang menjadi perantara dalam instalasi program bajakan.
  • Trojan.Siggen31.34463
    Trojan yang dibuat dalam bahasa pemrograman Go dan ditujukan untuk mengunduh berbagai solusi penambang dan adware ke dalam sistem yang dijadikan target. Malware ini berupa file DLL yang terletak di [string]%appdata%\utorrent\lib.dll[/string]. Untuk peluncuran malware ini memanfaatkan kerentanan kelas DLL Search Order Hijacking pada klien torrent uTorrent.
  • Trojan.BPlug.4268
    Deteksi komponen berbahaya ekstensi browser WinSafe. Komponen ini merupakan skenario JavaScript yang menayangkan iklan yang mengganggu dalam browser.
  • Trojan.Starter.8319
    Deteksi script XML berbahaya yang meluncurkan Trojan.AutoIt.289 dan komponen-komnennya.

Statistik program berbahaya dalam lalu lintas e-mail
Program berbahaya 
yang paling sering ditemukan dalam lalu lintas e-mail

02_mail_traffic_q2_2026_en.png

Triwulan pertama tahun 2026    Triwulan ke-2 tahun 2026

Ancaman yang paling sering terdeteksi dalam lalu lintas e-mail pada triwulan ke-2 tahun 2026

X97M.DownLoader.2343
File XLSX (format tabel elektronik Microsoft Excel) dengan obyek OLE yang mengunduh file berbahaya pada komputer yang diserang.

W97M.DownLoader.2938
Sekelompok trojan downloader yang memanfaatkan kerentanan dokumen Microsoft Office. Trojan ini digunakan untuk download program berbahaya yang lain pada komputer yang diserang.

Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Exploit yang digunakan untuk memanfaatkan kerentanan software Microsoft Office, yang memungkinkan eksekusi kode sembarangan.

JS.Muldrop.1171
Script berbahaya dalam format JavaScript yang meluncurkan malware yang tersembunyi di dalamnya pada sistem yang dijadikan target.
#Encoder
Encoder

Dibandingkan triwulan pertama tahun 2026, pada triwulan ke-2 jumlah permintaan dekripsi file yang terkena trojan ransomware menurun walaupun tidak signifikan yaitu sebesar 2,67%.

Dinamika permintaan dekripsi yang diterima oleh Layanan dukungan teknis Doctor Web:

Encoder yang paling sering terdeteksi pada triwulan ke-2 tahun 2026

Trojan.Encoder.35534 — 14,47% permintaan pengguna
Trojan.Encoder.41868 — 5,26% permintaan pengguna
Trojan.Encoder.37400 — 3,95% permintaan pengguna
Trojan.Encoder.35209 — 3,29% permintaan pengguna
Trojan.Encoder.44197 — 2,63% permintaan pengguna

<BLOK STANDAR TENTANG PERLINDUNGAN DATA>

#Penipuan online
Penipuan online

Salah satu tren yang diamati oleh analis Internet Doctor Web pada triwulan ke-2 tahun 2026, di tengah meningkatnya jumlah pengguna aplikasi pesan Rusia MAX, para penyerang mulai secara aktif menargetkan pengguna layanan ini. Mereka menggunakan skema yang sudah dikenal, yang sebelumnya menargetkan pengguna messenger lain, seperti Telegram dan WhatsApp. Misalnya, spesialis kami mengidentifikasi banyak situs web penipuan yang dibuat untuk mencuri akun MAX dengan kedok berbagai jajak pendapat. Calon korban dipersilakan untuk memberikan suara dalam lomba tertentu, tetapi untuk melakukannya, mereka diharuskan masuk ke akun mereka menggunakan nomor telepon seluler dan kode verifikasi yang diterima setelah memasukkannya. Setelah pengguna memasukkan segala informasi yang diperlukan, para penyerang mendapatkan akses ke akunnya.

Contoh salah satu situs web phishing yang digunakan penipu untuk mendapat akses akun korban di messenger MAX

Selama triwulan ke-2, para analis Internet Doctor Web mencatat munculnya situs web penipuan baru terkait investasi. Namun, para penjahat siber mengikuti tren terkini dan terus aktif memanfaatkan AI. Misalnya, di beberapa situs web mereka mengajak calon korban untuk bergabung dengan proyek investasi baru, yang seolah-olah terkait dengan lembaga kredit besar Rusia. Para penyerang menjanjikan akses ke chatbot khusus berbasis neural network ChatGPT yang dapat membantu dalam berinvestasi. Untuk berpartisipasi dalam "proyek" tersebut, pengunjung situs diharuskan mendaftar dan memberikan informasi pribadi.

Situs penipu yang menawarkan pendaftaran dalam proyek investasi yang seolah-olah terafiliasi dengan salah satu bank Rusia untuk mendapat akses pada chatbot khusus keuangan berbasis neural network ChatGPT

Pada saat yang sama, para penipu berupaya menarik perhatian pengguna berbahasa Rusia tidak hanya dengan menggunakan nama-nama bank Rusia, tetapi juga lembaga kredit asing. Misalnya, penjahat siber menampilkan sejumlah situs web yang menawarkan layanan investasi palsu yang seolah-olah berafiliasi dengan bank-bank Korea Selatan.

06_fake_korean_invest_q2_2026.png

Salah satu situs web penipu yang menawarkan kepada pengguna berbahasa Rusia untuk berpartisipasi dalam sebuah proyek investasi dari salah satu bank Korea Selatan dan menjanjikan total pendapatan sebesar 2 000 000 KRW ke atas

 

Pada triwulan ke-2 para penipu terus aktif, berupaya mencuri data akun untuk berbagai layanan. Di antara banyak situs phishing, terdapat situs web palsu perusahaan transportasi. Salah satunya menargetkan pelanggan layanan pengiriman ekspres Rusia. Calon korban diminta masuk ke akunnya menggunakan nomor telepon seluler yang terhubung ke akun mereka atau masuk melalui layanan Gosuslugi. Bahkan setelah masuk menggunakan metode pertama, situs tersebut masih menampilkan formulir phishing kedua, yang menyamar sebagai halaman masuk Gosuslugi.

 

 

 

 

 

 

 

 

 

 

 

 

 

Melalui situs web penipuan para penjahat dapat mencuri data beberapa akun sekaligus, termasuk dari akun di situs perusahaan transportasi dan portal Gosuslugi

Para ahli kami juga mengidentifikasi situs web phishing baru dari lembaga kredit di berbagai negara. Misalnya, penipu meminta nasabah salah satu bank AS untuk masuk ke akun mereka dan memeriksa ketersediaan suku bunga yang lebih tinggi untuk "nasabah setia":
 

10_fake_usa_banklogin_q2_2026.pngDalam kasus lain situs phishing meniru penampilan salah satu bank Ekuador dan meminta login dan kata sandi akun online banking pengguna:

Skema phishing lain tertuju pada pengguna Inggris. Para penjahat siber menciptakan situs palsu dari layanan pemerintah yang menawarkan membayar denda salah parkir.

Para calon korban diminta untuk mengisi data pribadi lengkap seolah-olah untuk periksa identitas, setelah itu mereka dialihkan pada halaman pembayaran “denda”. 
 

14_fake_uk_parking3_q2_2026.png

Salah satu skema penipuan yang paling umum melibatkan warga yang menerima berbagai pembayaran cuma-cuma. Namun, penjahat siber terus-menerus menyesuaikan skema ini dengan peristiwa terkini. Misalnya, menjelang Hari Nasional Rusia situs web palsu lembaga kredit Rusia mulai bermunculan, menjanjikan kepada pengunjung pembayaran menjelang hari besar itu. Salah satunya diduga menawarkan pengguna antara 5.000 sampai 300.000 Rubel kalau mengikuti survei:

Dalam versi lain dari skema ini para pengguna setelah mengikuti survei dijanjikan akan mendapat “bantuan” sebesar 5 000 Rubel:

Di tengah laporan spekulatif tentang kekurangan bahan bakar di beberapa wilayah Rusia, sejumlah situs menjanjikan voucher untuk bahan bakar gratis sebanyak 20 hingga 100 liter:

Setelah menjawab beberapa pertanyaan sederhana, pengunjung situs web ini diminta menjalani "identifikasi" untuk menerima hadiah yang dijanjikan, termasuk memberikan nama depan dan belakang, nomor telepon seluler, dan nomor kartu bank. Para penipu kemudian dapat menggunakan informasi ini untuk mencuri uang korbannya.
 

 

19_fake_russia_payoutdata_q2_2026.png

Di antara situs web yang tidak diinginkan yang terdeteksi pada triwulan ke-2 juga terdapat situs web FIFA palsu, di mana pengguna dijanjikan dapat membeli tiket resmi untuk pertandingan Piala Dunia 2026, merchandise bermerek, dan berbagai layanan premium. Seperti pada situs web resmi, pengunjung situs web palsu ini diminta untuk masuk ke akun FIFA ID mereka, tetapi formulir login dan kata sandi dalam hal ini menerima data apa pun.

Formulir palsu untuk masuk akun FIFA ID

Setelah penggemar sepak bola memilih produk yang mereka minati, mereka diminta untuk menyelesaikan pembelian dan melakukan pembayaran. Selama proses pembayaran, pengguna dialihkan ke situs web layanan yang termasuk dalam database situs web yang tidak direkomendasikan oleh antivirus Dr.Web.
 

 

22_fake_fifa_pay_q_2026.png

Situs palsu FIFA yang seolah-olah menawarkan pembelian produk dan layanan berlisensi

Para ahli kami juga mengidentifikasi sejumlah kampanye spam yang bertujuan menyebarkan link situs web marketplace Rusia yang palsu, di mana para penipu menawarkan kesempatan kepada calon korban untuk berpartisipasi dalam "undian hadiah ulang tahun". Para penipu menjanjikan hadiah uang tunai hingga 1.000.000 Rubel, serta komputer dan perangkat seluler:

24_fake_marketplace_prize2_q2_2026.png

Untuk berpartisipasi dalam "promosi" tersebut, pengguna harus mengklik tombol yang sesuai di situs webnya, setelah itu akan terjadi simulasi proses pengundian hadiah. Setelah beberapa kali mencoba, calon korban diberitahu bahwa mereka telah memenangkan beberapa hadiah dan memiliki pilihan antara menerima hadiah tersebut sendiri di lokasi pengambilan di pasar, atau menerima uang tunai yang setara melalui transfer bank.

Kalau pengguna memilih untuk menerima hadiah di lokasi pengambilan, situs web tersebut memberi tahu penggunanya bahwa barang yang dibutuhkan sedang habis stok, tetapi mereka masih dapat menukarkannya dengan uang tunai. Halaman tersebut kemudian mensimulasikan obrolan dengan operator untuk "mengkonfirmasi" niat untuk menukarkan hadiah tersebut. Untuk melakukannya, calon korban diharuskan memberikan nomor kartu bank:

26_fake_marketplace_prize4_q2_2026.png

Setelah datanya dimasukkan, situs ini meminta membayar bea negara untuk “memproses penyerahan hadiah secara resmi”:

Pada kenyataannya, korban penipu tidak menerima hadiah apapun. Mereka tidak hanya menyerahkan data kartu banknya, tetapi juga menyerahkan uang pribadinya.

 

Cari tahu lebih banyak tentang situs web yang tidak direkomendasikan oleh antivirus Dr.Web

 

#Untuk perangkat mobile

Perangkat lunak berbahaya dan tidak diinginkan untuk perangkat mobile

 

Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-2 tahun 2026 pengguna mulai lebih jarang menghadapi trojan perbankan Android.Banker, namun trojan ini tetap menjadi malware yang paling umum. Tercatat juga penurunan lebih lanjut aktivitas trojan iklan Android.HiddenAds dan Android.MobiDash.

 

Program dengan potensi bahaya yang paling sering terdeteksi pada triwulan ke-2 adalah aplikasi Tool.Obfuscator.TrashCode dan Tool.NPMod yang dimodifikasi menggunakan utilitas modding NP Manager. Pembuat virus menggunakan alat ini untuk melindungi malware dari deteksi antivirus. Program tidak diinginkan yang paling umum adalah antivirus palsu Program.FakeAntiVirus. Untuk "menangani" ancaman yang seolah-olah terdeteksi, program ini memaksa membeli versi lengkapnya.

 

Modul adware yang paling aktif adalah Adware.AdPush yang menampilkan notifikasi menyesatkan dan mengumpulkan data rahasia. Adware.Bastion.1.origin, sebuah aplikasi optimasi OS Android, lagi-lagi tersebar luas. Aplikasi ini membuat notifikasi tentang dugaan RAM rendah dan kesalahan sistem untuk menampilkan iklan selama "optimasi." Adware.Opensite.15, sebuah program adware, juga tetap sangat aktif. Penyerang mendistribusikannya dengan kedok program cheat, yang konon memungkinkan pengguna untuk mendapatkan berbagai sumber daya dalam game. Pada kenyataannya, program-program ini hanya memuat situs web berisi iklan.

 

Pada bulan Juni, para spesialis Doctor Web memperingatkan tentang trojan Android.MagicAd.1 yang dapat melewati batasan OS Android dan menampilkan iklan di mode latar belakang. Android.MagicAd.1 menggunakan aplikasi pihak ketiga dan berbagai teknik tergantung pada produsen perangkat yang dijadikan target.

 

Selama triwulan kedua, analis virus kami mengidentifikasi trojan baru dari kelompok Android.Joker dan Android.Subscription di katalog Google Play yang mendaftarkan pengguna ke layanan berbayar. Secara total, program-program tersebut telah diunduh setidaknya 2.600.000 kali.

 

Peristiwa yang paling signifikan di bidang keamanan perangkat mobile pada triwulan ke-2

 

  • Trojan perbankan Android.Banker tetap menjadi malware yang paling sering terdeteksi pada perangkat yang dilindungi oleh Dr.Web.
  • Penyerang terus aktif menggunakan alat khusus untuk memodifikasi program Android guna melindungi trojan perbankan dari deteksi antivirus.
  • Aktivitas trojan iklan Android.MobiDash dan Android.HiddenAds kembali menurun.
  • Para analis virus Doctor Web mengidentifikasi trojan Android.MagicAd.1 yang menggunakan program pihak ketiga untuk melewati batasan OS Android dan menampilkan iklan di mode latar belakang.
  • Aplikasi trojan baru yang mendaftarkan pengguna ke layanan berbayar ditemukan di katalog Google Play.

 

Informasi lebih lengkap tentang keadaan virus untuk perangkat mobile pada triwulan ke-2 tahun 2026 dapat dibaca dalam ringkasan yang kami buat [link ringkasan]. 

 

Cari tahu lebih banyak dengan Dr.Web

[BERITA ANTIVIRUS!]

[KURSUS PELATIHAN]

[PROYEK PENDIDIKAN]

[BROSUR]