Doctor Web: panoramica sull'attività di virus in I trimestre 2026

1 aprile 2026

Secondo le statistiche di rilevamento dell'antivirus Dr.Web, nel I trimestre 2026 il numero totale di minacce rilevate è diminuito del 6,77% rispetto al IV trimestre dell'anno scorso. Il numero di minacce uniche è diminuito dell'11,98%. Prevalentemente sui dispositivi protetti venivano rilevati i software pubblicitari e i trojan pubblicitari, i programmi malevoli downloader, nonché i backdoor.

Nel traffico email i rilevamenti più frequenti sono stati gli script malevoli, i backdoor e le varie applicazioni trojan. Tramite messaggi email i malintenzionati distribuivano anche i documenti di phishing e gli exploit.

Gli utenti i cui file sono stati colpiti dai trojan ransomware di criptazione hanno riscontrato predominantemente Trojan.Encoder.35534, Trojan.Encoder.29750 e Trojan.Encoder.41868.

Nel I trimestre 2026, gli analisti internet dell'azienda Doctor Web hanno individuato nuovi siti di phishing, incluse false risorse di istituti di credito e di marketplace, nonché una serie di altri siti indesiderati.

Nel segmento di dispositivi mobili, si osservava un'attività aumentata dei trojan bancari. In particolare, i nostri analisti di virus hanno notato una crescente popolarità di un metodo di protezione dei malware dal rilevamento dai software antivirus, che consiste nell'aggiungere ai malware il codice spazzatura.

A gennaio gli esperti Doctor Web hanno parlato dei trojan clicker Android.Phantom, che utilizzano il machine learning e lo streaming video per l'aumento artificiale dei clic su siti web. Inoltre, durante gli ultimi 3 mesi, abbiamo registrato la comparsa sullo store di app Google Play di ulteriori programmi malevoli, tra cui i trojan che iscrivono utenti a servizi a pagamento.

Secondo i dati del servizio delle statistiche Doctor Web

Minacce più diffuse di I trimestre 2026

Trojan.Siggen31.34463

Trojan scritto nel linguaggio di programmazione Go e studiato per caricare nel sistema di destinazione vari cryptominer e software pubblicitari. Il programma malevolo è un file DLL e si trova in %appdata%\utorrent\lib.dll. Per avviarsi, sfrutta la vulnerabilità di classe DLL Search Order Hijacking nel client torrent uTorrent.

Adware.Downware.20655

Adware.Downware.20766

Software pubblicitario utilizzato come installer intermedio di programmi pirata.

Trojan.BPlug.4268

Rilevamento di un componente malevolo di un'estensione browser WinSafe. Questo componente rappresenta uno script JavaScript che visualizza pubblicità invadenti nei browser.

Adware.Siggen.33379

Falsa estensione di blocco di pubblicità per browser Adblock Plus, che viene installata nel sistema da altre applicazioni malevole allo scopo di visualizzazione di annunci pubblicitari.

Statistiche delle applicazioni malevole nel traffico email

Minacce più diffuse nel traffico email di I trimestre 2026

JS.DownLoader.1225

Rilevamento euristico per gli archivi ZIP contenenti script JavaScript con nomi sospetti.

W97M.DownLoader.2938

Famiglia di trojan downloader che utilizzano vulnerabilità in documenti Microsoft Office. Sono studiati per scaricare altri programmi malevoli sul computer attaccato.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploit per l'utilizzo di vulnerabilità nel software Microsoft Office, che consentono di eseguire codice arbitrario.

JS.Redirector.514

Script malevolo che reindirizza l'utente a una pagina web controllata dai malintenzionati.

Ransomware di criptazione

Nel I trimestre 2026, le richieste di decriptazione di file colpiti da trojan ransomware di criptazione sono diminuite del 31,51% rispetto al IV trimestre dell'anno scorso. Il calo si è verificato nel contesto del prolungato periodo delle festività di Capodanno e dei relativi giorni non lavorativi, durante il quale alcuni cybercriminali potevano sospendere la propria attività e andare in vacanza. Inoltre, gli utenti che hanno subito attacchi dei trojan ransomware di criptazione durante questo periodo probabilmente non hanno reagito immediatamente agli incidenti avvenuti.

Dinamica del numero di richieste di decriptazione pervenute al Servizio di supporto tecnico Doctor Web:

Ransomware di criptazione più diffusi di I trimestre 2026

• Trojan.Encoder.35534 — 15.59% di richieste utente
• Trojan.Encoder.29750 — 3.23% di richieste utente
• Trojan.Encoder.41868 — 3.23% di richieste utente
• Trojan.Encoder.26996 — 1.62% di richieste utente
• Trojan.Encoder.44383 — 1.61% di richieste utente

Frode online

Durante i 3 mesi passati, gli analisti internet dell'azienda Doctor Web hanno individuato una serie di nuovi falsi siti di marketplace. Su questi siti i truffatori suggeriscono di partecipare a una "svendita" di ordini presumibilmente non ritirati. Lo schema fraudolento consiste in quanto segue: le merci da ordini "non reclamate" sono suddivise in diverse categorie (elettronica, abbigliamento, calzature, cosmetici ecc.) e presumibilmente verrebbero riunite nelle relative scatole a sorpresa. Il contenuto di queste ultime è ignoto e potrà includere, tra l'altro, oggetti di valore. Alle potenziali vittime viene offerta la possibilità di acquistare tali scatole a un prezzo relativamente basso, il che rappresenta l'esca principale.

Falso sito web di marketplace promette una "svendita degli ordini non reclamati" che presumibilmente sovraccaricano i magazzini

Quando un utente sceglie una delle scatole, gli viene chiesto di finalizzare l'ordine e indicare i propri dati personali che possono includere il nome e cognome, il numero di cellulare e l'indirizzo email. Quindi l'utente viene reindirizzato a una pagina di pagamento tramite SBP (nota: Sistema di pagamenti rapidi russo). In fin dei conti, la vittima perde il denaro e trasferisce ai truffatori le proprie informazioni confidenziali.

Dopo aver finalizzato "l'ordine", la vittima viene invitata a pagarlo tramite Sistema di pagamenti rapidi

I nostri esperti, inoltre, hanno trovato molteplici siti di servizi web che offrono gli svariati servizi finanziari, ad esempio: la possibilità di ottenere rapidamente un microcredito, un prestito o di sottoporsi alla procedura fallimentare. Tali servizi web stessi non forniscono queste prestazioni, come lo si aspetterebbero gli utenti, e sono solo intermediari tra clienti e istituti finanziari. Quello che forniscono dietro pagamento è l'accesso a una selezione di varianti potenzialmente adatte, benché un'aggregazione di simili offerte finanziarie sia disponibile in fonti gratuite. Oltre a ciò, questi servizi web non garantiscono esiti positivi se si presenta una domanda. Per di più, il pagamento dell'accesso non è una tantum, ma rappresenta un abbonamento con addebiti periodici.

Uno dei siti dove l'accesso al servizio web di selezione di offerte finanziarie è a pagamento e formalizzato come abbonamento

In alcuni casi, tali risorse possono fuorviare utenti offrendo un determinato servizio, ad esempio la ricerca di lavoro, ma fornendo dopo l'iscrizione l'accesso alle stesse offerte finanziarie di ottenimento di prestiti, microcrediti ecc.

Sito web promette assistenza nella ricerca di lavoro, ma una volta pagato l'accesso al servizio web, invece di un elenco di offerte di lavoro, potrebbe fornire le offerte finanziarie di prestiti, microcrediti ecc. dai partner

I siti di phishing rilevati nel I trimestre includevano, in particolare, false risorse internet che sfruttavano il tema di una gara sportiva di beneficenza chiamata "Maratona verde". Invitano i visitatori a registrarsi per partecipare alla maratona, tuttavia, questi siti non hanno niente a che fare con l'evento e sono creati per raccogliere i dati confidenziali degli utenti.

Uno dei falsi siti che sfruttano il tema "Maratona verde"

Gli analisti internet Doctor Web hanno rilevato anche ulteriori falsi siti di servizi web di investimento presumibilmente legati a diversi istituti di credito. Tra di essi erano siti orientati al pubblico da Russia, Kazakistan e altri paesi. I truffatori promettono alti profitti alle potenziali vittime, le quali, per "accedere" alle piattaforme di pseudo investimento, devono completare un breve sondaggio e registrare un account indicando le proprie informazioni personali.

Esempio di sito di phishing che i malintenzionati spacciano per la risorsa ufficiale del servizio web di investimento di una delle banche russe

Esempio di sito di phishing che i malintenzionati spacciano per la risorsa ufficiale del servizio web di investimento di uno degli istituti di credito di Kazakistan

Software malevoli e indesiderati per dispositivi mobili

Secondo i dati delle statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel I trimestre 2026 è continuata la crescita dell'attività dei trojan bancari Android.Banker, osservata nel IV trimestre dell'anno precedente. I più diffusi tra di essi sono stati i campioni della sottofamiglia Android.Banker.Mamont. Allo stesso tempo, di nuovo è diminuito il numero di rilevamenti dei trojan pubblicitari Android.MobiDash e Android.HiddenAds.

Tra i software potenzialmente pericolosi individuati, sono stati leader i programmi in cui tramite strumenti di modding è inserito il codice spazzatura (vengono rilevati come Tool.Obfuscator.TrashCode). Tale metodo al momento viene attivamente impiegato per proteggere i trojan bancari dal rilevamento da parte degli antivirus. Inoltre, come in precedenza, sono state frequenti le applicazioni modificate tramite l'utility NP Manager (vengono rilevate come Tool.NPMod).

I software indesiderati rilevati più frequentemente sono stati i falsi antivirus Program.FakeAntiVirus, che, per "eliminare" le minacce presumibilmente identificate, richiedono l'acquisto di una versione completa. I software pubblicitari più attivi nel I trimestre si sono rivelati i programmi Adware.Bastion.1.origin e Adware.Opensite.15. Quelli primi sono applicazioni di ottimizzazione che creano notifiche di presunti memoria insufficiente ed errori di sistema per visualizzare pubblicità durante "l'ottimizzazione". Quelli secondi sono falsi programmi di cheat per l'ottenimento di varie risorse in giochi, ma in realtà solo caricano siti web con annunci pubblicitari.

A gennaio 2026 il nostro laboratorio antivirus ha avvertito dei trojan clicker Android.Phantom. Queste applicazioni malevole utilizzano il machine learning e lo streaming video per l'aumento artificiale dei clic su siti web. I cybercriminali li distribuivano in più modi: tramite lo store GetApps per dispositivi Xiaomi, canali Telegram, server Discord, raccolte software di terze parti e attraverso siti malevoli.

Durante i 3 mesi scorsi, gli analisti di virus Doctor Web hanno identificato sullo store di app Google Play nuove minacce, tra cui erano le applicazioni trojan Android.Joker e Android.Subscription studiate per iscrivere utenti a servizi a pagamento.

Eventi più importanti relativi alla sicurezza "mobile" in I trimestre

• Trojan bancari Android.Banker sono diventati le minacce per dispositivi Android più diffuse
• Cybercriminali utilizzavano più spesso utility per il modding di applicazioni Android per proteggere trojan bancari dal rilevamento da antivirus
• Continuata la tendenza alla diminuzione dell'attività dei trojan pubblicitari Android.MobiDash e Android.HiddenAds
• Utenti riscontravano i trojan Android.Phantom, che utilizzano il machine learning e streaming video per l'aumento artificiale dei clic su siti web
• Sullo store di app Google Play di nuovo venivano distribuite applicazioni malevole

Per maggiori informazioni sulla situazione di virus per dispositivi mobili nel I trimestre 2026 leggete la nostra panoramica.