Doctor Web: ringkasan aktivitas virus untuk perangkat mobile pada triwulan ke-3 tahun 2025
1 Oktober 2025
Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-3 tahun 2025 malware yang paling sering ditemukan adalah trojan Android.MobiDash yang menampilkan iklan yang mengganggu. Dibandingkan periode sebelumnya jumlah deteksi trojan ini pada perangkat yang dilindungi meningkat 18,19%.
Trojan iklan Android.HiddenAds turun ke posisi kedua dengan aktivitasnya tercatat menurun selama dua triwulan berturut-turut. Selama tiga bulan terakhir para pengguna menghadapi trojan ini 71,85% lebih jarang. Aplikasi berbahaya ini menyembunyikan ikonnya agar lebih sulit dideteksi dan dihapus, serta menampilkan iklan termasuk video layar penuh.
Android.FakeApp, aplikasi berbahaya yang digunakan oleh penjahat siber dalam berbagai skema penipuan, kembali menempati urutan ketiga. Jumlah deteksi trojan jenis ini menurun sebesar 7,49%. Alih-alih menjalankan fungsi yang dijanjikan, trojan ini sering memuat berbagai website termasuk situs penipu dan berbahaya, serta website kasino dan bandar judi online.
Trojan dari kelompok Android.Banker tetap menjadi trojan bank yang paling umum, meskipun aktivitasnya menurun sebesar 38,88%. Penyerang menggunakannya untuk mendapatkan akses ilegal ke rekening bank dan mencuri uang. Trojan ini dapat menampilkan jendela phishing untuk mencuri login dan password, meniru tampilan aplikasi perbankan yang sah, mencegat pesan SMS untuk mendapatkan kode sekali pakai dll.
Berikutnya adalah trojan Android.BankBot yang jumlah deteksinya meningkat 18,91%. Trojan ini juga mencoba mengakses rekening bank online pengguna dengan mencegat kode konfirmasi. Trojan bank ini juga dapat menjalankan berbagai perintah dari penjahat siber, beberapa di antaranya membuka akses kendali jarak jauh atas perangkat yang terkena.
Menutupi ranking tiga teratas adalah malware dari kelompok Android.SpyMax yang berbasis pada source code trojan spyware SpyNote. Deteksinya menurun 17,25% dibandingkan triwulan ke-2. Malware ini memiliki beragam fungsi berbahaya, termasuk kemampuan untuk mengendalikan perangkat dari jarak jauh.
Pada bulan Agustus kami telah melaporkan sebuah kampanye yang ditujukan untuk mendistribusikan backdoor multifungsi Android.Backdoor.916.origin yang digunakan penjahat siber untuk mencuri data rahasia dan memata-matai pengguna perangkat Android. Para penyerang mengirimkan pesan kepada calon korban melalui berbagai aplikasi messenger berisi penawaran untuk menginstal "antivirus" dari file APK terlampir. Laboratorium antivirus Doctor Web sudah mendeteksi versi pertama malware ini pada bulan Januari 2025 dan terus memantau perkembangannya sejak saat itu. Menurut para ahli kami, backdoor ini digunakan dalam serangan tertarget dan tidak ditujukan untuk distribusi massal. Target utama para penjahat siber adalah perwakilan kalangan pebisnis Rusia.
Selama triwulan ke-3 banyak aplikasi berbahaya dan tidak diinginkan didistribusikan di katalog Google Play dengan total jumlah instalasi lebih dari 1.459.000, termasuk puluhan trojan Android.Joker yang mendaftarkan korban ke layanan berbayar, serta program palsu Android.FakeApp. Selain itu, para analis virus kami mengidentifikasi program lain yang seolah-olah memungkinkan pengguna mengonversi hadiah virtual menjadi uang yang nyata.
TREND UTAMA TRIWULAN KE-3
- Trojan iklan Android.MobiDash menjadi ancaman yang paling sering terdeteksi
- Aktivitas trojan iklan Android.HiddenAds terus menurun
- Jumlah serangan trojan bank dari kelompok Android.BankBot meningkat
- Aktivitas trojan bank Android.Banker dan Android.SpyMax menurun
- Para penjahat siber menggunakan backdoor multifungsi Android.Backdoor.916.origin untuk menyerang pebisnis Rusia
Terdapat banyak malware yang disebarkan melalui katalog Google Play
Berdasarkan data Dr.Web Security Space untuk perangkat mobile
Program berbahaya yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-2 tahun 2025 Triwulan ke-3 tahun 2025
- Android.MobiDash.7859
Program trojan yang menampilkan iklan yang mengganggu. Program ini merupakan modul program yang ditanamkan oleh pengembang perangkat lunak ke dalam aplikasi.
- Android.FakeApp.1600
Program trojan yang mengunduh website yang tercantum dalam settingnya. Modifikasi yang dikenal dari aplikasi membahayakan itu mengunduh situs kasino online.
- Android.Click.1812
Deteksi mod berbahaya messenger WhatsApp yang dapat mengunduh berbagai website di latar belakang tanpa diketahui pengguna.
- Android.HiddenAds.673.origin
Program trojan untuk tayangan iklan yang tidak diinginkan. Program dari kelompok Android.HiddenAds sering disebarkan dengan disamarkan sebagai aplikasi yang tidak berbahaya dan dalam hal tertentu diinstal dalam katalog sistem oleh perangkat lunak berbahaya yang lain. Setelah masuk di perangkat Android, trojan iklan ini biasanya menyembunyikan diri dari pengguna dalam sistem, misalnya dengan “menyembunyikan” ikon aplikasi dalam menu layar utama.
- Android.Triada.5847
Deteksi packer untuk trojan dari kelompok Android.Triada yang dirancang untuk melindunginya dari analisis dan deteksi. Penyerang paling sering menggunakannya bersamaan dengan mod messenger Telegram berbahaya yang ditanami trojan ini secara langsung.
Program tidak diinginkan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-2 tahun 2025 Triwulan ke-3 tahun 2025
Deteksi aplikasi yang seolah-olah memberi kesempatan untuk mendapat pembayaran dari hasil menyelesaikan kegiatan atau tugas tertentu. Program ini melakukan imitasi pemberian upah di mana untuk mengeluarkan dana “hasil kerja” perlu menabung jumlah uang tertentu. Biasanya di situ disediakan daftar sistem pembayaran dan bank populer yang seolah-olah dapat digunakan untuk transfer dananya. Tetapi bahkan kalau pengguna berhasil menabung dana yang cukup untuk ditransfer keluar, pembayaran yang dijanjikan tidak diterima. Catatan ini juga digunakan untuk deteksi perangkat lunak lain yang tidak diinginkan yang didasarkan pada kode program tersebut.
Deteksi aplikasi Android yang dimodifikasikan dengan menggunakan layanan cloud CloudInject dan utilitas Android dengan nama yang sama (dicantumkan ke dalam database virus Dr.Web dengan nama Tool.CloudInject). Program ini dimodifikasikan di server jarak jauh, sedangkan pengguna yang ingin melakukan modifikasinya (modder) tidak dapat mengontrol apa saja yang akan diinstal di dalamnya. Selain itu, aplikasi juga mendapat sejumlah ekstensi yang berbahaya. Setelah modifikasi program modder mendapat kemampuan untuk mengelolanya dari jauh termasuk memblokir, menunjukkan dialog yang diatur, melacak instalasi dan penghapusan perangkat lunak yang lain dll.
Deteksi program iklan yang mengimitasikan aktivitas dari perangkat lunak antivirus. Program tersebut juga dapat melaporkan ancaman yang sebenarnya tidak ada dan membuat para pengguna keliru dengan meminta pembayaran untuk membeli versi lengkap.
- Program.TrackView.1.origin
Aplikasi yang memberikan kesempatan untuk mengamati pengguna melalui perangkat Android. Dengan menggunakan program ini para penjahat dapat mendeteksi lokasi keberadaan perangkat yang dituju, menggunakan kamera untuk merekam video dan membuat foto, melakukan penyadapan via mikrofon, membuat rekaman audio dll.
Program dengan potensi ancaman yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-2 tahun 2025 Triwulan ke-3 tahun 2025
Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4
Deteksi aplikasi Android yang dimodifikasikan dengan utilitas NP Manager. Di dalam program tersebut diunduh sebuah modul khusus yang membantu menghindari pemeriksaan tanda tangan digital setelah dimodifikasi.
Tool.LuckyPatcher.2.origin
Utilitas yang memungkinkan pengguna memodifikasi aplikasi Android yang terinstal (membuat patch untuk aplikasi tersebut) untuk mengubah perilakunya atau melewati batasan tertentu. Misalnya, pengguna dapat menggunakannya untuk menonaktifkan verifikasi akses root di aplikasi perbankan atau mendapatkan sumber daya tak terbatas dalam game. Untuk membuat patch, utilitas ini mengunduh script yang telah disiapkan secara khusus dari Internet yang dapat dibuat dan ditambahkan oleh siapapun ke dalam database bersama. Fungsionalitas script tersebut juga bisa berbahaya, sehingga patch yang dihasilkan dapat menimbulkan potensi ancaman.
Tool.Androlua.1.origin
Deteksi sejumlah versi yang memiliki potensi bahaya dari framework khusus yang digunakan untuk pengembangan program Android dalam bahasa pemrograman script Lua. Logika utama aplikasi Lua ada pada script terkait yang dienkripsi dan diuraikan dengan interpretator sebelum pelaksanaan. Framework ini sering meminta akses pada banyak izin sistem secara otomatis agar dapat berfungsi. Hasilnya, script Lua yang dilaksanakan melalui framework ini dapat melaksanakan berbagai tindakan yang berbahaya sesuai dengan izin yang didapat.
Program iklan yang paling sering ditemukan
berdasarkan statistik deteksi Dr. Web Security Space untuk perangkat mobile
Triwulan ke-2 tahun 2025 Triwulan ke-3 tahun 2025
- Adware.AdPush.3.origin
- Adware.Adpush.21846
Modul iklan yang dapat diintegrasikan dalam program Android. Modul tersebut menampilkan pesan bersifat iklan yang membuat para pengguna keliru. Misalnya, bentuk pesannya bisa mirip dengan pemberitahuan sistem operasi. Selain itu, modul tersebut mengumpulkan sejumlah data rahasia, serta dapat mengunduh aplikasi lain dan menginisiasikan instalasinya.
Deteksi sejumlah versi yang dimodifikasi (mod) dari messenger WhatsApp dengan kode terpasang dalam fungsinya untuk pengunduhan link yang ditetapkan melalui tampilan web selama aktivitas dalam messenger. Dari alamat Internet tersebut akan dilakukan pengalihan ke situs yang diiklankan, misalnya kasino online dan penyelenggara taruhan, juga situs dewasa.
Deteksi modul iklan yang tidak diinginkan yang menempatkan ikon iklan di layar utama perangkat Android.
- Adware.Basement.1
Aplikasi yang tampilkan iklan yang tidak diinginkan yang sering mengarahkan pengguna ke situs yang berbahaya dan bersifat penipuan. Memiliki database kode yang sama dengan program yang tidak diinginkan Program.FakeMoney.11.
Ancaman di Google Play
Pada triwulan ke-3 tahun 2025 laboratorium antivirus Doctor Web telah menemukan di katalog Google Play lebih dari 50 trojan dari kelompok Android.Joker yang membuat pengguna berlangganan layanan berbayar. Trojan ini didistribusikan dengan disamarkan sebagai berbagai software termasuk messenger, berbagai utilitas sistem, editor gambar, program fotografi, program untuk mengelola dokumen dll.
Salah satu trojan disembunyikan dalam program optimisasi sistem Clean Boost (Android.Joker.2412), dan yang lainnya dalam aplikasi Convert Text to PDF (Android.Joker.2422) untuk konversi teks menjadi dokumen PDF
Di samping itu, para spesialis kami menemukan program palsu yang baru Android.FakeApp yang digunakan dalam skema penipuan. Seperti sebelumnya, beberapa di antaranya menyamar sebagai aplikasi keuangan — buku referensi, panduan pendidikan dan perangkat lunak untuk mengakses layanan investasi. Program palsu ini memuat website palsu. Program trojan Android.FakeApp lainnya didistribusikan dengan disamarkan sebagai game dan dalam kondisi tertentu memuat website bandar taruhan dan kasino online, alih-alih fungsi yang dijanjikan.
Contoh Trojan Android.FakeApp yang menyamar sebagai aplikasi bertema keuangan. Android.FakeApp.1889 menawarkan kepada pengguna untuk cek literasi keuangan, sementara Android.FakeApp.1890 menawarkan memperluas pemikiran tentang keuangan
Para ahli kami juga menemukan program yang tidak diinginkan Program.FakeMoney.16 yang didistribusikan sebagai aplikasi Zeus Jackpot Mania. Pengguna software ini mendapat hadiah virtual yang kemudian seolah-olah dapat mereka konversi menjadi uang sungguhan yang bisa ditarik dari aplikasi.
Program.FakeMoney.16 di katalog Google Play
Untuk "menarik" uangnya, program tersebut meminta sejumlah data, tetapi para korban akhirnya tidak menerima pembayaran apapun.
Program.FakeMoney.16 meminta nama lengkap dan data rekening bank pengguna
Untuk melindungi perangkat Android dari program berbahaya dan tidak diinginkan para pengguna perlu menginstal produk antivirus Dr.Web untuk Android.