Doctor Web: ringkasan aktivitas virus untuk perangkat mobile pada triwulan ke-2 tahun 2026

Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, aktivitas trojan perbankan Android.Banker menurun sebesar 31,83% pada triwulan kedua tahun 2026 dibandingkan dengan triwulan pertama, namun tetap menjadi malware untuk Android yang paling umum, menyumbang 23,28% dari total hasil deteksi ancaman sejenis. Program malware ini mencuri berbagai data rahasia, seperti pesan SMS yang berisi kode sekali pakai dari lembaga kredit, login serta kata sandi untuk akun perbankan online, dan juga dapat menampilkan jendela phishing. Seperti pada triwulan sebelumnya, pengguna paling sering menemukan subkelompok Android.Banker.Mamont yang mencakup berbagai aplikasi berbahaya.

Selama tiga bulan terakhir, aktivitas trojan iklan dari kelompok Android.MobiDash dan Android.HiddenAds terus menurun. Namun, trojan ini tetap termasuk di antara aplikasi Android berbahaya yang paling umum, dan beberapa modifikasinya tetap menjadi yang paling sering terdeteksi di antara malware yang lain.

Perangkat lunak dengan potensi berbahaya yang paling umum, dengan persentase lebih dari 66%, lagi-lagi adalah program yang telah menambahkan trash code untuk mengaburkan logikanya (terdeteksi sebagai Tool.Obfuscator.TrashCode). Modifikasi ini dijalankan menggunakan alat modding NP Manager. Alat-alat ini juga digunakan oleh penyerang untuk melindungi malware, seperti trojan perbankan Android.Banker.Mamont, dari deteksi antivirus.

Pada urutan kedua ada aplikasi yang juga dimodifikasi menggunakan utilitas NP Manager, tetapi menggunakan fungsi lainnya. Sebagai contoh, alat ini mencakup berbagai modul untuk melindungi dan mengaburkan kode program, serta untuk melewati verifikasi tanda tangan digital setelah aplikasi dimodifikasi. Pembuat virus memanfaatkan fungsi ini untuk melindungi malware dari perangkat lunak antivirus. Produk antivirus Dr.Web mendeteksi program yang dimodifikasi dengan cara ini sebagai Tool.NPMod.

Program yang dimodifikasi menggunakan utilitas Tool.LuckyPatcher kembali termasuk di antara aplikasi dengan potensi bahaya yang paling umum. Untuk memodifikasi program-program ini, utilitas tersebut mengunduh script yang telah disiapkan secara khusus dari Internet.

Program yang paling aktif di antara program yang tidak diinginkan pada triwulan kedua adalah aplikasi Program.FakeAntiVirus yang meniru aktivitas antivirus. Program ini diduga mendeteksi ancaman tertentu dan kemudian meminta pengguna untuk membeli versi lengkapnya untuk "melawan" ancaman tersebut. Program palsu ini menyumbang lebih dari 44% dari perangkat lunak tidak diinginkan yang terdeteksi pada perangkat Android.

Modul Adware.AdPush yang dapat disematkan dalam aplikasi Android telah menjadi adware yang paling umum. Modul ini menampilkan pemberitahuan iklan yang menyesatkan kepada pengguna, juga mengumpulkan berbagai data rahasia. Selain itu, pengguna terus menemukan program optimasi Adware.Bastion.1.origin. Program ini secara berkala membuat pemberitahuan dengan pesan yang menyesatkan tentang dugaan kesalahan sistem dan level RAM yang rendah. Aplikasi ini menampilkan iklan selama "optimasi". Program iklan Adware.Opensite.15 juga semakin aktif. Penyerang menyamarkannya sebagai aplikasi cheat yang seolah-olah memungkinkan pengguna untuk mendapatkan sumber daya dalam game, tetapi pada kenyataannya, program tersebut hanya memuat situs web berisi iklan.

Pada awal bulan Juni, spesialis Doctor Web melaporkan Android.MagicAd.1, sebuah trojan yang mampu melewati batasan OS Android dan menampilkan iklan pada latar belakang. Untuk itu, Android.MagicAd.1 mengeksploitasi aplikasi pihak ketiga dan menggunakan metode khusus untuk masing-masing pengembang perangkat yang terkena. Informasi lebih lanjut tentang trojan ini tersedia dalam artikel terkait di situs web kami.

Selama triwulan kedua, para analis virus Doctor Web menemukan lebih banyak malware di katalog Google Play yang mendaftarkan korban ke layanan berbayar, termasuk dari kelompok Android.Subscription и Android.Joker.

TREN UTAMA TRIWULAN KE-2

  • Trojan perbankan Android.Banker tetap menjadi malware yang paling sering ditemukan untuk OS Android.
  • Para pembuat virus terus aktif menggunakan alat-alat modding program Android untuk melindungi trojan perbankan dari deteksi antivirus.
  • Aktivitas trojan iklan Android.MobiDash dan Android.HiddenAds kembali menurun.
  • Telah ditemukan trojan Android.MagicAd.1 yang menggunakan aplikasi luar guna menembus pembatasan OS Android dan menampilkan iklan di mode latar belakang.
  • Malware baru muncul di katalog Google Play.

 

Berdasarkan data Dr.Web Security Space untuk perangkat mobile


Program berbahaya yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

Triwulan pertama tahun 2026   Triwulan ke-2 tahun 2026

  • Android.Click.1812
    Deteksi mod berbahaya messenger WhatsApp yang dapat mengunduh berbagai website di mode latar belakang tanpa diketahui pengguna.
  • Android.HiddenAds.675.origin
  • Android.HiddenAds.4236
    Program trojan yang dirancang untuk menampilkan iklan yang mengganggu. Trojan dari kelompok Android.HiddenAds sering didistribusikan dengan menyamar sebagai aplikasi yang tidak berbahaya dan, dalam beberapa kasus, diinstal di katalog sistem oleh malware lain. Saat menyusup ke perangkat Android, trojan adware ini biasanya menyembunyikan keberadaannya di sistem dari pengguna, misalnya, dengan menyembunyikan icon aplikasi dari menu layar utama.
  • Android.Banker.Mamont.80.origin
    Trojan perbankan yang mencegat SMS dengan kode sekali pakai dari lembaga kredit serta isi pesan, dan juga mengumpulkan informasi rahasia lainnya, termasuk data teknis perangkat yang terkena, daftar aplikasi terinstal, informasi SIM card, data panggilan telepon, serta SMS masuk dan terkirim.
  • Android.FakeApp.1600
    Program trojan yang mengunduh situs yang tercantum dalam settingnya. Modifikasi yang dikenal dari aplikasi membahayakan itu mengunduh situs kasino online. 

Program tidak diinginkan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

Triwulan pertama tahun 2026   Triwulan ke-2 tahun 2026

  • Program.FakeAntiVirus.1
  • Program.FakeAntiVirus.4
  • Program.FakeAntiVirus.4.origin
  • Program.FakeAntiVirus.5
    Deteksi program iklan yang mengimitasikan aktivitas dari perangkat lunak antivirus. Program tersebut juga dapat melaporkan ancaman yang sebenarnya tidak ada dan membuat para pengguna keliru dengan meminta pembayaran untuk membeli versi lengkap.
  • Program.FakeMoney.11
    Deteksi aplikasi yang seolah-olah memberi kesempatan untuk mendapat pembayaran dari hasil menyelesaikan kegiatan atau tugas tertentu. Program ini melakukan imitasi pemberian upah di mana untuk mengeluarkan dana “hasil kerja” perlu menabung jumlah uang tertentu. Biasanya di situ disediakan daftar sistem pembayaran dan bank populer yang seolah-olah dapat digunakan untuk transfer dananya. Tetapi bahkan kalau pengguna berhasil menabung dana yang cukup untuk ditransfer keluar, pembayaran yang dijanjikan tidak diterima. Catatan ini juga digunakan untuk deteksi perangkat lunak lain yang tidak diinginkan yang didasarkan pada kode program tersebut.

Program dengan potensi ancaman yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

Triwulan pertama tahun 2026   Triwulan ke-2 tahun 2026

  • Tool.Obfuscator.TrashCode.1
  • Tool.Obfuscator.TrashCode.2
    Deteksi program Android yang telah dimodifikasi dengan menggunakan alat peretas dan ditambahkan garbage code. Modifikasinya dilakukan untuk mengaburkan logika program. Teknik ini sering ditemukan pada trojan perbankan dan versi perangkat lunak bajakan.
  • Tool.NPMod.3
  • Tool.NPMod.1
    Deteksi aplikasi Android yang dimodifikasikan dengan utilitas NP Manager. Utilitas ini berisi modul untuk mengaburkan dan melindungi kode program, serta melewati verifikasi tanda tangan digital setelah modifikasi. Pengaburan yang ditambahkan sering digunakan dalam malware untuk menghambat deteksi dan analisisnya.
  • Tool.LuckyPatcher.2.origin
    Utilitas yang memberikan kesempatan untuk melakukan modifikasi aplikasi Android yang diinstal (menciptakan patch untuk aplikasi dimaksud) dengan tujuan mengubah logika berfungsinya aplikasi atau menghindari berbagai keterbatasan. Misalnya, dengan utilitas tersebut pengguna dapat mencoba nonaktifkan pemeriksaan akses root di program perbankan atau mendapat sumber daya yang tidak terbatas dalam games. Untuk menciptakan patch utilitas ini mengunggah dari Internet script khusus yang telah disiapkan yang dapat diciptakan oleh siapapun dan dicantumkan ke dalam database umum. Fungsionalitas script dimaksud dapat antara lain menjadi berbahaya, oleh karena itu patch yang diciptakan berpotensi membawa ancaman. 

Program iklan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile

Triwulan pertama tahun 2026   Triwulan ke-2 tahun 2026

  • Adware.Bastion.1.origin
    Deteksi program optimasi yang secara berkala membuat notifikasi dengan pesan menyesatkan tentang dugaan memori rendah dan kesalahan sistem untuk menampilkan iklan selama proses "optimasi."
  • Adware.Opensite.15
    Aplikasi yang menyamar sebagai alat cheat untuk mendapatkan sumber daya dalam game dan sebenarnya dirancang untuk menampilkan iklan. Program-program ini menerima konfigurasi dari server jarak jauh, yang kemudian memuat situs web target dengan iklan termasuk banner, pop-up, video, dan lain sebagainya.
  • Adware.AdPush.3.origin
    Modul iklan yang dapat diintegrasikan dalam program Android. Modul tersebut menampilkan pesan bersifat iklan yang membuat para pengguna keliru. Misalnya, bentuk pesannya bisa mirip dengan pemberitahuan sistem operasional. Selain itu, modul tersebut mengumpulkan sejumlah data rahasia, serta dapat mengunduh aplikasi lain dan menginisiasikan instalasinya.
  • Adware.Fictus.1.origin
    Modul iklan yang dipasang oleh para penjahat ke dalam versi clone dari games dan program populer untuk Android. Integrasinya ke dalam program dilakukan dengan menggunakan packer khusus net2share. Salinan perangkat lunak yang dibuat dengan cara tersebut disebarkan melalui berbagai katalog aplikasi dan setelah diinstal akan tampilkan iklan yang tidak diinginkan.
  • Adware.Airpush.7.origin
    Modul program yang tertanam dalam aplikasi Android dan menampilkan berbagai iklan. Tergantung pada versi dan modifikasinya, iklan tersebut dapat berupa notifikasi, pop-up, atau banner. Penyerang sering menggunakan modul ini untuk menyebarkan malware dengan mendorong pengguna untuk menginstal perangkat lunak tertentu. Selain itu, modul ini mengirimkan berbagai informasi rahasia ke server jarak jauh.

Ancaman di Google Play

Selama triwulan ke-2 tahun 2026 para analis virus Doctor Web telah menemukan di katalog Google Play sejumlah program trojan baru Android.Subscription yang mendaftarkan pengguna untuk berlangganan layanan berbayar. Program ini disebarkan dengan disamarkan sebagai berbagai jenis software, seperti bioskop online ShowLounge - TV & Dramas (Android.Subscription.25), program AIM untuk gamer: Crosshair Asist (Android.Subscription.26), games True Cargo Drive (Android.Subscription.27), utilitas Battery 3D: Charge Effects (Android.Subscription.28) dan editor gambar PixStudio - Photo Editor (Android.Subscription.29). Secara total program tersebut diunduh setidaknya 2 600 000 kali.

Contoh program trojan Android.Subscription yang ditemukan di Google Play pada triwulan ke-2 tahun 2026

Aplikasi berbahaya semacam ini memuat situs web yang menggunakan teknologi Wap Click untuk mendaftarkan pengguna pada langganan seluler berbayar. Calon korban diminta memasukkan nomor telepon seluler, dan setelah memasukkannya ada upaya untuk mengaktifkan layanan terkait.

Lagi-lagi yang disebarkan di Google Play adalah program trojan Android.Joker yang juga mendaftarkan korban untuk berlangganan layanan berbayar. Para penjahat menyamarkannya sebagai messenger Chat Messages (Android.Joker.2625) dan Easy Messages (Android.Joker.2632), serta utilitas untuk optimasi operasi sistem Smart File Cleaner, Junk Clean Master dan Fast Cleaner (masing-masing Android.Joker.2614, Android.Joker.2618 dan Android.Joker.2626).

Salah satu aplikasi malware yang menyembunyikan trojan dari kelompok Android.Joker

Untuk melindungi perangkat Android dari program berbahaya dan tidak diinginkan para pengguna perlu menginstal produk antivirus Dr.Web untuk Android.