Июнь 2026   |   В фокусе

МегаФон зафиксировал рост мобильных угроз на 70% и появление 200 серверов атак

Число заражений мобильных устройств выросло на 70%, а сеть управляющих серверов хакеров расширилась до 200 узлов, что делает точечные блокировки бессмысленными. Банковский троян Mamont захватил 15% рынка угроз, превращая официальные магазины приложений в каналы проникновения и требуя от бизнеса отказа от пассивной защиты.

Системы мониторинга МегаФона зафиксировали резкий рост киберугроз для мобильных устройств: по итогам первого полугодия 2026 года число выявленных заражений увеличилось на 70% по сравнению с аналогичным периодом прошлого года. Злоумышленники не только активизировались, но и масштабировали инфраструктуру управления атаками, увеличив количество серверов для контроля зараженных устройств с десятков до 200 в пиковые месяцы. Основной драйвером роста стал банковский троян Mamont, доля которого в общем объеме угроз выросла до 15%, хотя в последние месяцы темпы его распространения начали снижаться.

Динамика угроз и инфраструктура атак

Активность вредоносного ПО демонстрирует устойчивый восходящий тренд, прерываемый лишь кратковременными спадами. Первый значимый всплеск зафиксирован еще в марте 2025 года, когда количество инцидентов выросло в 6,6 раза относительно февраля. В текущем году пиковые значения были достигнуты уже в феврале, после чего показатели колебались, но общий вектор направлен вверх.

Ключевым индикатором профессионализации киберпреступности стало расширение сети управляющих серверов (C&C). Если в первом полугодии 2025 года специалисты обнаруживали лишь несколько десятков таких ресурсов для трояна Mamont, то к осени их среднемесячное количество превысило 100, а в марте 2026 года достигло 200. Это свидетельствует о создании распределенной инфраструктуры, устойчивой к блокировкам и рассчитанной на массовые атаки.

Важный нюанс: Рост числа управляющих серверов указывает на то, что киберпреступники переходят от точечных атак к созданию масштабных ботнетов, что усложняет задачу блокировки угроз на уровне сети.

Роль человеческого фактора и вектор атак

Несмотря на технологическое совершенствование инструментов защиты, значительная часть заражений происходит из-за действий самих пользователей. Основные каналы проникновения вредоносного ПО:

  • Переход по фишинговым ссылкам в мессенджерах и социальных сетях.
  • Установка приложений из непроверенных источников.
  • Подключение к незащищенным публичным сетям Wi-Fi.

Специалисты отмечают, что злоумышленники размещают вредоносное ПО даже в официальных магазинах приложений. Поэтому проверка разработчика и анализ запрашиваемых разрешений становятся критически важными этапами перед установкой любого софта. Если приложение требует доступы, не связанные с его функционалом, это прямой сигнал о потенциальной угрозе.

Стоит учесть: Официальные магазины приложений больше не являются гарантией безопасности. Злоумышленники адаптируются к модерации, размещая вредоносный код в легальных оболочках.

Механизмы защиты и реакция оператора

Для противодействия угрозам МегаФон использует собственную аналитику и автоматизированные правила детектирования. При выявлении подозрительной активности оператор:

  1. Ограничивает доступ абонента к вредоносному ресурсу на уровне сети.
  2. Уведомляет пользователя о потенциальной угрозе.

Эксперты рекомендуют комбинировать сетевую защиту с индивидуальными мерами предосторожности: регулярное обновление антивирусного ПО, игнорирование неожиданных ссылок и вложений (даже от знакомых контактов), а также критическая оценка запросов на доступ к данным устройства.

Операционные последствия и скрытые риски

На основе представленных данных можно выделить несколько практических выводов для пользователей и бизнеса:

  • Эффективность блокировок: Снижение темпов распространения трояна Mamont на 18% в мае может свидетельствовать о временной эффективности мер защиты, однако историческая динамика показывает, что после летнего спада осенью часто следует новый рост активности.
  • Сложность обнаружения: Увеличение числа управляющих серверов до 200 означает, что блокировка одного ресурса перестает быть достаточной мерой. Злоумышленники быстро перенаправляют трафик на другие узлы сети.
  • Необходимость обучения: Поскольку человеческий фактор остается главным вектором атак, технические средства защиты не заменят цифровую гигиену. Пользователям необходимо пересмотреть привычки взаимодействия с контентом в мессенджерах.
  • Риск для корпоративных устройств: Рост активности банковских троянов создает угрозу не только для личных финансов, но и для корпоративных данных, если сотрудники используют личные устройства для работы (BYOD).

На фоне этого: Борьба с мобильными угрозами превращается в непрерывный процесс адаптации, где скорость реакции на новые векторы атак становится важнее статической защиты.

Коротко о главном

Какой банковский троян стал основным драйвером роста угроз и какова его доля?

Троян Mamont обеспечил основной прирост киберугроз, заняв 15% в общем объеме атак, хотя в последние месяцы темпы его распространения начали снижаться.

Сколько управляющих серверов использовали киберпреступники в пиковые месяцы 2026 года?

Количество серверов для контроля зараженных устройств выросло с десятков до 200, что свидетельствует о переходе от точечных атак к созданию устойчивых распределенных ботнетов.

Когда был зафиксирован первый значимый всплеск активности вредоносного ПО?

Резкий рост инцидентов, превысивший показатели предыдущего месяца в 6,6 раза, был отмечен в марте 2025 года, после чего активность продолжала демонстрировать восходящий тренд.

Почему официальные магазины приложений больше не гарантируют безопасность?

Злоумышленники научились обходить модерацию, размещая вредоносный код в легальных оболочках, что требует от пользователей проверки разработчика и запрашиваемых разрешений.

Какие действия предпринимает МегаФон при обнаружении подозрительной активности абонента?

Оператор ограничивает доступ к вредоносным ресурсам на уровне сети и уведомляет пользователя, чтобы предотвратить заражение устройства.

Почему блокировка одного управляющего сервера перестала быть эффективной мерой защиты?

Из-за увеличения числа серверов до 200 злоумышленники быстро перенаправляют трафик на другие узлы, что делает невозможным полное пресечение атак через блокировку отдельных ресурсов.

Какой фактор остается главной причиной проникновения вредоносного ПО на устройства?

Значительная часть заражений происходит из-за действий пользователей, таких как переход по фишинговым ссылкам и установка приложений из непроверенных источников, что требует повышения цифровой гигиены.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность; Телекоммуникации и связь; Устройства и гаджеты; Смартфоны и телефоны

Материалы по теме