Хакеры проявили мобильность
Количество зараженных вирусом смартфонов в России в 2026 году выросло на 70%
По итогам первого полугодия число заражений мобильных устройств в России выросло на 70% год к году. Основной угрозой остается банковский троян Mamont. По оценкам экспертов, уже скомпрометировано около 1,5 млн Android-устройств — это 1,5% от всех в России. В условиях недоступности ряда приложений установка файлов из сторонних источников стала массовой практикой, чем активно пользуются злоумышленники.
Фото: Егор Снетков, Коммерсантъ
Фото: Егор Снетков, Коммерсантъ
По итогам первого полугодия 2026 года количество выявленных заражений мобильных устройств увеличилось на 70% год к году, по данным систем мониторинга киберугроз «МегаФона». Первый значительный всплеск активности вредоносного ПО был отмечен еще в марте 2025 года, когда число инцидентов выросло в 6,6 раза по сравнению с предыдущим месяцем. Одной из главных угроз остается банковский Android-троян Mamont. Если в прошлом году на него приходилось 10–12% всех выявленных заражений, то в текущем году его доля достигла 15%.
Mamont — банковский троян для устройств на базе Android, одна из наиболее распространенных мобильных угроз в России. После установки получает доступ к обработке СМС-уведомлений, а также платежной и личной информации. Основная слабость трояна заключается в том, что пользователю нужно самостоятельно его установить себе на телефон, поэтому злоумышленникам приходится придумывать методы обмана — от социальной инженерии до массовых рассылок.
Дополнительным индикатором роста активности стало увеличение числа управляющих серверов (С2, централизованные системы злоумышленников для удаленного управления вредоносным софтом на скомпрометированных устройствах). Если в первом полугодии 2025 года специалисты выявляли лишь несколько десятков серверов Mamont, то осенью их среднемесячное количество превысило 100, а в марте 2026 года — 200. По оценке «МегаФона», это свидетельствует о противодействии злоумышленников обнаружению и нацеленности на массовые атаки. При этом в последние месяцы специалисты отмечают снижение темпов распространения Mamont: в мае количество выявлений сократилось на 18% по сравнению с апрелем, что повторяет динамику прошлого года.
Активные кампании с использованием этого трояна проводятся с 2023 года, отмечает руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков. За это время вредоносный функционал серьезно эволюционировал.
Злоумышленники увеличили перечень атакуемых приложений, усовершенствовали механизмы перехвата СМС и управления устройствами. По данным F6, примерно 1,5% всех Android-устройств в России (около 1,5 млн) скомпрометированы. При этом совокупный ущерб российских пользователей от действий мошенников в цифровых каналах в 2025–2026 годах превысил 600 млрд руб.
Рост активности злоумышленников именно по этому вектору старший управляющий директор AppSec Solutions Антон Башарин связывает с изменением привычек пользователей. В условиях недоступности ряда иностранных приложений в официальных магазинах установка APK-файлов из сторонних источников стала для многих нормой. «Пользователь регулярно ставит APK-файлы из ссылок в мессенджерах и поисковиках. Этим пользуются злоумышленники, создавая поддельный "банк" или "обновление приложения"»,— добавил он. Дополнительным фактором, по его словам, стал интерес к ИИ-сервисам, под видом которых распространяются трояны.
В отношении угроз для iOS-устройств эксперты F6 отмечают, что они традиционно менее подвержены массовым атакам из-за сложности разработки вредоносного ПО. Однако за последний год как минимум два iOS exploit kit (DarkSword и Coruna) были замечены в арсенале преступных группировок, нацеленных на кражу финансовой информации. В «Лаборатории Касперского» подтверждают, что инструменты для кибершпионажа, такие как Coruna, могут со временем получать более широкое распространение, хотя говорить о выходе более сложных и дорогих решений (Pegasus или Predator) в массовый сегмент пока оснований нет.