За период с июня 2024 по май 2025 года аналитики Zscaler обнаружили в Google Play 239 вредоносных приложений, суммарно набравших более 42 млн загрузок. На фоне этого в годовом срезе зафиксирован 67% рост атак на мобильные устройства, что подтверждает устойчивый тренд на увеличение злоумышленной активности в экосистеме Android.
Ключевые тренды: рекламная малварь и инфостилеры
Среди категорий угроз лидирует рекламная малварь: на нее приходится 69% всех выявленных случаев. Вторую позицию занимает инфостилер Joker — 23%. Эти семейства традиционно маскируются под легитимные приложения, злоупотребляют разрешениями, встраивают скрытую монетизацию и выкачивают чувствительные данные.
Мобильные платежи под прицелом: социальная инженерия выходит на первый план
Главным драйвером роста стали атаки на мобильные платежи. Киберпреступники отходят от схем с поддельными картами в пользу социальной инженерии: фишинга, смишинга (SMS-фишинга), SIM swapping и других форм платежного мошенничества. Такой сдвиг предоставляет злоумышленникам более высокий ROI за счет масштабируемости и психологического давления на пользователя, что согласуется с отраслевыми наблюдениями о росте человеческо-ориентированных атак.
Всплеск шпионских программ: +220% за год
Активность шпионских приложений увеличилась на 220%. Чаще всего в атаках фигурируют SpyNote, SpyLoan и BadBazaar — инструменты для скрытого слежения, шантажирования и кражи персональных данных. Распространение таких ПО подпитывается внестоимостной доступностью криминальных сборок и наборов для удаленного администрирования, а также использованием функций доступности и продвинутой маскировки.
География угроз: Индия, США и Канада — в группе повышенного риска
Больше всего атак пришлось на пользователей из Индии, США и Канады, которые суммарно составили 55% всех случаев. При этом в ряде регионов наблюдается экстремальный годовой рост: в Италии и Израиле частота заражений увеличилась на 800–4000%. Такая динамика нередко сопровождается локализованными фишинговыми кампаниями и таргетингом популярных в регионе сервисов.
Особо опасные семейства и скрытая инфраструктура
В годовом отчете Zscaler выделены три наиболее опасных и широко распространенных семейства малвари. Хотя детальная разбивка не раскрывается, исследователи указывают на общий вектор: злоупотребление системными разрешениями, устойчивые каналы управления и монетизации, а также активное использование подписанных сборок и динамической доставки полезной нагрузки.
Рост атак на IoT: маршрутизаторы как звено цепочки
Помимо мобильных устройств, отмечается увеличение атак на IoT, прежде всего на домашние и SOHO-маршрутизаторы. Эксплуатация уязвимостей позволяет подключать их к ботнетам и превращать в прокси-узлы для доставки вредоносного ПО и укрытия инфраструктуры командно-контрольных серверов. Такая «туманная» периферия повышает живучесть атак и усложняет атрибуцию.
Практические рекомендации по защите Android и сети
Обновления и контроль источников: своевременно устанавливайте патчи ОС и приложений; избегайте установки софта из сомнительных источников и приложений с чрезмерными разрешениями (особенно доступ к Accessibility Services).
Google Play Protect и проверка разрешений: регулярно запускайте проверку устройства, отслеживайте списки установленных приложений и отзывайте ненужные разрешения, включая доступ к SMS, уведомлениям и наложению поверх окон.
Гигиена платежей и коммуникаций: не переходите по ссылкам из SMS/мессенджеров, используйте отдельные каналы подтверждения, активируйте PIN/PUK для SIM, а также многоканальную MFA там, где это возможно.
Защита IoT: меняйте заводские пароли, отключайте неиспользуемые сервисы (UPnP/телнет), применяйте изоляцию IoT в гостевой/отдельной VLAN и регулярно обновляйте прошивки маршрутизаторов.
Статистика Zscaler демонстрирует: мобильная экосистема остается ключевым полем для криминальной монетизации, а сочетание социальной инженерии и вредоносных приложений — главным вектором риска. Усиление базовой гигиены, внимательное отношение к разрешениям, регулярная проверка Play Protect и дисциплина обновлений способны существенно снизить вероятность компрометации. Для организаций и домашних пользователей своевременные меры — самый практичный способ оставаться на шаг впереди развивающихся угроз.
