Развитие информационных угроз в первом квартале 2026 года. Мобильная статистика

Развитие информационных угроз в первом квартале 2026 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2026 года. Статистика по ПК

Начиная с третьего квартала 2025 года мы изменили методику подсчета статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.

Для демонстрации динамики между отчетными периодами мы также пересчитали данные за предыдущий год, поэтому они могут значительно отличаться от опубликованных ранее. При этом последующие отчеты будут формироваться по новой методике, что позволит корректно сопоставлять данные с представленными в этой статье.

Kaspersky Security Network (KSN) — это глобальная сеть для анализа анонимизированной информации об угрозах, добровольно предоставленной пользователями решений «Лаборатории Касперского». Статистика в этом отчете основана на данных KSN, если явно не указано иного.

Цифры квартала

По данным Kaspersky Security Network, в первом квартале 2026 года:

• предотвращено свыше 2,67 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;
• среди вредоносного ПО для мобильных устройств самой распространенной угрозой стали троянцы класса Trojan-Banker — 10,86% от всех обнаруженных угроз;
• было обнаружено более 306 тысяч вредоносных установочных пакетов, из которых:
  • 162 275 пакетов относились к мобильным банковским троянцам;
  • 439 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО в первом квартале снизилось до 2 676 328 по сравнению с 3 239 244 в прошлом квартале.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q3 2024 — Q1 2026 (скачать)

Снижение общего количества атак в основном связано с уменьшением числа атак с использованием рекламного ПО и приложений типа RiskTool. Тем не менее это не говорит об уменьшении риска для мобильных пользователей. Далее мы продемонстрируем, что число атакованных этими угрозами уникальных пользователей изменилось не так значительно.

В первом квартале аналитики Synthient нашли связь нашумевшего ботнета Kimwolf с прокси-сетью IPIDEA. Затем эта сеть была ликвидирована при участии GTIG.

В начале 2026 года мы обнаружили несколько приложений в Google Play и App Store, которые содержали новую версию криптостилера SparkCat.

В зараженные Android-приложения был встроен тщательно скрытый код троянца. Обфусцированная вредоносная библиотека на Rust расшифровывалась с помощью виртуальной машины, созданной атакующими, по устройству похожей на Dalvik. В iOS-версии зловред также претерпел некоторые изменения, в частности для распознавания текста (OCR) злоумышленники стали использовать Vision, проприетарный фреймворк Apple.

Статистика мобильных угроз

Число образцов вредоносного ПО для Android незначительно выросло по сравнению с показателем четвертого квартала 2025 года и составило 306 070.

Количество обнаруженных вредоносных и потенциально нежелательных установочных пакетов, Q1 2025 — Q1 2026 (скачать)

Распределение детектируемых установочных пакетов по типам выглядит следующим образом:

Распределение детектируемых мобильных программ по типам, Q4 2025* — Q1 2026 (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Злоумышленники снова увеличили объемы сборки новых банковских троянцев, в результате чего этот тип вредоносных файлов потеснил все остальные по количеству, составив более половины от общего числа установочных пакетов.

Доля* пользователей, атакованных определенным типом вредоносных или потенциально нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», Q4 2025 — Q1 2026 (скачать)

* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.

Вслед за увеличением числа установочных пакетов банковских троянцев выросло и количество атак с их использованием, из-за чего приложения Trojan-Banker подвинулись на одну позицию вверх по занимаемой доле среди всех атакованных пользователей. Наиболее активными банковскими троянцами стали варианты Mamont (73,5%). Остальные пользователи сталкивались с Faketoken, Rewardsteal, Creduz и другими семействами.

Тем не менее по числу атакованных пользователей банковские троянцы по-прежнему уступают рекламному ПО и программам типа RiskTool. Несмотря на сокращение доли установочных пакетов приложений этих двух типов, они по-прежнему занимают первые две строчки по количеству атак. Среди рекламных приложений пользователи чаще всего сталкивались с HiddenAd (44,9%) и MobiDash (38,1%), а среди RiskTool — с Revpn (67%) и SpyLoan (20,5%).

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

На первую строчку поднялся предустановленный бэкдор Triada.ag, аналогичный более старой версии Triada.z, которую мы описывали ранее. За счет того, что одна и та же модификация троянца предустановлена на разных устройствах, число атакованных им пользователей суммируется. Таким образом, Triada опережает даже банковский троянец Mamont, поскольку пользователи сталкивались с различными модификациями последнего, в результате чего его доля распределена по нескольким строчкам. Также в TOP попали и другие варианты предустановленного бэкдора Triada (Triada.z, Triada.ae, Triada.ab, Triada.ad). Помимо них мы отмечаем растущую активность бэкдора Keenadu.a, а также в рейтинге сохраняются различные модификации встроенного в приложения троянца Triada.

Мобильные банковские троянцы

В первом квартале 2026 года количество мобильных банковских троянцев традиционно продолжило расти и составило 162 275 пакетов, что в полтора раза больше показателя за предыдущий отчетный период.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q1 2025 — Q1 2026 (скачать)

Аналогичный темп роста мы наблюдали и в прошлом квартале: тогда количество приложений банковских троянцев увеличилось также в полтора раза. Абсолютное большинство пакетов составляют различные модификации Mamont, и они же составляют практически весь список самых распространенных банкеров по количеству атакованных пользователей.

TOP 10 мобильных банкеров

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».