Небезпечні застосунки Android не завжди виглядають як віруси: вони можуть працювати як очищувач пам’яті, фоторедактор, галерея, головоломка або пошук Wi-Fi, одночасно завантажуючи додатковий код, збираючи дані чи використовуючи системні вразливості. У березні 2026 року дослідники McAfee Labs повідомили про понад 50 таких програм у Google Play із сукупною кількістю завантажень щонайменше 2,3 мільйона — повідомляє Realnist з посиланням на дослідження McAfee Labs.
Після звіту Google видалив виявлені програми з магазину та заблокував пов’язані облікові записи розробників. Однак видалення сторінки з Google Play не означає автоматичного зникнення вже встановленого застосунку зі смартфона. Користувачеві потрібно самостійно перевірити список програм, дозволи на SMS, мікрофон і геолокацію, доступ до показу поверх інших вікон, активні підписки та джерела встановлення APK.
П’ять застосунків, наявність яких потрібно перевірити
McAfee опублікувала індикатори компрометації, зокрема назви пакетів програм, пов’язаних із кампанією Operation NoVoice. Назва пакета точніша за напис під іконкою: розробник може змінити видиму назву застосунку, але технічний ідентифікатор пакета використовується системою для його розпізнавання.
Серед оприлюднених McAfee зразків:
com.filnishww.fluttbuber.storagecleaner— застосунок, замаскований під очищувач сховища;com.wififinder.wificonnect— програма з функцією пошуку або підключення до Wi-Fi;com.dynamicpuzzle.cvbfhf— застосунок, замаскований під головоломку;com.wgoddessg.sgallery— програма, що видавала себе за галерею;com.crazycodes.blendphoto— застосунок для обробки або змішування фотографій.
У технічному переліку McAfee також фігурують пакети фоторедакторів, нотатників, VPN, ігор 2048, очищувачів телефона, інструментів для видалення сміття та програм із винагородами за кроки. Повний список індикаторів опублікований наприкінці звіту про Operation NoVoice.
“In total, we identified more than 50 of these malicious apps on Google Play” — заявила команда McAfee Labs у звіті від 31 березня 2026 року.
Дослідники встановили, що програми могли зовні виконувати заявлену функцію й не демонструвати очевидної підозрілої активності. Після запуску вони зв’язувалися з віддаленим сервером, визначали модель телефона, версію системи та інші параметри, після чого могли отримувати підібрані під конкретний пристрій компоненти.
Особливу увагу слід приділити телефонам зі старими версіями Android і давно неоновленленим рівнем безпеки.
Як знайти підозрілу програму, якщо її немає на головному екрані
Зникнення іконки не свідчить про видалення застосунку. Програма може залишатися встановленою, але не мати ярлика на головному екрані або в меню програм.
Відкрийте:
Налаштування → Застосунки → Усі застосунки.
Назви розділів відрізняються залежно від виробника. На Samsung це може бути меню «Програми», на Xiaomi — «Застосунки» та «Керування застосунками», на інших моделях — «Програми й сповіщення».
Перегляньте весь список, а не лише нещодавно відкриті програми. Підозру мають викликати:
- застосунки, яких ви не пам’ятаєте;
- програми без зрозумілої іконки або назви;
- «очищувачі», «прискорювачі», невідомі VPN і фоторедактори;
- програми, встановлені нещодавно перед появою реклами, списань або незвичної поведінки телефона;
- застосунки, які неможливо знайти в Google Play через кнопку «Відомості про програму».
Щоб побачити технічну назву пакета, можна відкрити сторінку застосунку в Google Play через його системні налаштування. Ідентифікатор часто відображається в адресі сторінки після id=. Якщо сторінки вже немає, пакет можна перевірити через системні відомості, діагностичні інструменти виробника або Android Debug Bridge на комп’ютері.
Перед видаленням підозрілої програми спочатку заберіть у неї спеціальні дозволи та права адміністратора. Інакше кнопка «Видалити» може бути заблокована.
Як перевірити доступ до SMS, мікрофона і геолокації
Android дозволяє переглядати дозволи двома способами: окремо для кожного застосунку або за категорією доступу. Для повної перевірки зручніше використовувати диспетчер дозволів.
Стандартний шлях:
Налаштування → Безпека й конфіденційність → Конфіденційність → Диспетчер дозволів.
У різних оболонках меню може називатися «Керування дозволами», «Дозволи програм» або «Менеджер дозволів». Офіційна інструкція Google щодо дозволів Android підтверджує, що в цьому розділі можна побачити всі програми, яким дозволений або заборонений певний тип доступу.
Перевірте щонайменше такі категорії:
- SMS;
- мікрофон;
- місцезнаходження;
- телефон;
- журнал викликів;
- контакти;
- камера;
- фото і відео;
- файли;
- сповіщення.
Доступ до SMS дозволяє застосунку надсилати та читати текстові повідомлення. Для стандартної програми повідомлень це необхідна функція. Для ліхтарика, гри, фоторедактора або очищувача пам’яті такий дозвіл не відповідає основному призначенню.
Google визначає дозвіл SMS як можливість надсилати й перевіряти повідомлення. Дозвіл мікрофона означає можливість записувати звук, а геолокації — отримувати місцезнаходження пристрою.
Для геолокації Android може пропонувати кілька режимів:
- дозволяти постійно;
- дозволяти лише під час використання;
- запитувати щоразу;
- не дозволяти.
Для більшості навігаційних, погодних або транспортних програм достатньо доступу лише під час використання. Постійний доступ має залишатися тільки в програм, яким фонова геолокація справді потрібна для заявленої функції.
Якщо призначення дозволу неможливо пояснити функціями програми, його потрібно вимкнути.
Окремо Android дозволяє повністю заблокувати камеру або мікрофон для всіх застосунків через:
Налаштування → Безпека й конфіденційність → Конфіденційність → Елементи керування конфіденційністю.
Там можна вимкнути загальний доступ до камери або мікрофона, поки триває перевірка телефона.

Як знайти програму, яка працює поверх інших вікон
Дозвіл «Показ поверх інших програм» дає застосунку можливість розміщувати власні елементи поверх банківського застосунку, браузера, месенджера або системного вікна. Його використовують легальні програми — наприклад, месенджери з плаваючими чатами. Водночас аналогічний механізм застосовують банківські трояни для підміни форм входу.
На більшості смартфонів шлях виглядає так:
Налаштування → Застосунки → Спеціальний доступ → Показ поверх інших програм.
Можливі назви: «Відображення поверх інших програм», «Поверх інших вікон», «Спливаючі вікна» або «Appear on top».
Перегляньте всі програми з активним дозволом. Його не повинні мати невідомі очищувачі, ігри, калькулятори, фоторедактори, програми для заставок або застосунки, які ви встановили з APK.
У червні 2026 року дослідники Zimperium описали банківський троян Rokarolla, який поширювався через підроблені сайти під виглядом Chrome і TikTok. Шкідливе ПЗ використовувало, зокрема, накладання екранів, перехоплення SMS, запис введення та доступ до сповіщень для атак на банківські й криптовалютні програми. Воно не поширювалося через офіційний Google Play.
“The malware is specifically designed to target and compromise 217 distinct cryptocurrency and banking applications” — зазначили дослідники Zimperium zLabs у звіті від 16 червня 2026 року.
У тому самому розділі спеціального доступу перевірте:
- встановлення невідомих програм;
- доступ до сповіщень;
- зміну системних налаштувань;
- адміністраторів пристрою;
- служби спеціальних можливостей;
- доступ до статистики використання;
- необмежене використання батареї.
Найбільшу увагу слід приділити службам спеціальних можливостей. Цей доступ може дозволяти програмі бачити елементи екрана, натискати кнопки й виконувати дії від імені користувача. Google повідомляє, що Android 13 і новіші версії додатково обмежують критичні налаштування для програм, установлених із невідомих джерел.
Де перевірити приховані підписки Google Play
Видалення програми не скасовує оформлену через неї підписку. Якщо користувач видалив застосунок, автоматичне списання може продовжуватися до окремого скасування платежів.
Відкрийте:
Google Play → іконка профілю → Платежі й підписки → Підписки.
Альтернативний шлях:
Налаштування телефона → Google → ваше ім’я → Керування обліковим записом Google → Платежі й підписки → Керувати підписками.
Цей порядок наведений в офіційній довідці Google Play. Якщо потрібна підписка не відображається, Google радить перевірити інші облікові записи, додані на телефон.
Для кожної підписки перевірте:
- назву сервісу;
- суму;
- дату наступного платежу;
- періодичність списання;
- Google-акаунт, через який її оформлено;
- спосіб оплати.
Щоб припинити платежі, відкрийте підписку, натисніть «Скасувати підписку» та виконайте інструкції. Доступ до послуги зазвичай залишається до завершення вже оплаченого періоду.
Окремо перегляньте історію покупок:
Google Play → профіль → Платежі й підписки → Бюджет та історія.
Google також дозволяє перевірити операції через розділи «Активність» і «Підписки та сервіси» в Google Payments. Офіційний порядок описаний у довідці про історію замовлень Google Play.
Якщо банківська виписка містить незрозуміле списання, а в Google Play його немає, потрібно перевірити:
- інші Google-акаунти;
- підписки, оформлені безпосередньо на сайті сервісу;
- оплату через мобільного оператора;
- сімейні облікові записи;
- операції, проведені через інший магазин застосунків.
У травні 2026 року Zimperium повідомила про майже 250 шкідливих програм, які використовували преміальні SMS і операторський білінг для непомітного оформлення платних сервісів. Кампанія була спрямована на операторів у Малайзії, Таїланді, Румунії та Хорватії; дослідники описали автоматичне перехоплення одноразових кодів і підтвердження підписок без видимих дій користувача.
Що означає встановлення APK
APK — це інсталяційний файл застосунку Android. Коли програма завантажується з Google Play, магазин сам отримує та встановлює потрібні компоненти. Коли користувач завантажує файл із сайту, месенджера, електронної пошти або хмарного сховища, він виконує так зване стороннє встановлення.
Сам формат APK не означає, що файл шкідливий. Ризик залежить від походження файлу, цифрового підпису розробника, цілісності пакета та коду всередині.
Для встановлення APK Android просить окремо дозволити конкретній програмі — наприклад, браузеру або файловому менеджеру — встановлювати невідомі застосунки. Після завершення інсталяції цей дозвіл доцільно вимкнути.
Перевірити його можна через:
Налаштування → Застосунки → Спеціальний доступ → Встановлення невідомих програм.
Якщо дозвіл активний для браузера, Telegram, файлового менеджера або іншої програми, якою ви не користуєтеся для інсталяції, його потрібно вимкнути.
Не встановлюйте APK, якщо файл:
- надісланий незнайомцем;
- пропонується як «оновлення безпеки» в повідомленні;
- маскується під Chrome, TikTok, банк, «Дію» або системний сервіс;
- вимагає вимкнути Play Protect;
- просить доступ до спеціальних можливостей, SMS і сповіщень;
- завантажений із копії офіційного сайту з іншою адресою.
Оновлення Android, Google Play і системних компонентів не потребують випадкового APK із повідомлення або рекламного банера.

Як увімкнути Google Play Protect і запустити перевірку
Google Play Protect перевіряє програми перед завантаженням із Google Play, періодично сканує встановлені застосунки та аналізує програми з інших джерел. Сервіс може попередити про небезпечний застосунок, вимкнути його або автоматично видалити.
Відкрийте:
Google Play → іконка профілю → Play Protect.
Натисніть «Сканувати». Потім відкрийте налаштування Play Protect і переконайтеся, що активні:
- «Сканувати застосунки за допомогою Play Protect»;
- «Покращити виявлення шкідливих програм».
Офіційна інструкція Google Play Protect зазначає, що сервіс увімкнений за замовчуванням і Google рекомендує не вимикати його.
“Google Play Protect checks your apps and devices for harmful behavior” — зазначає Google в офіційній довідці сервісу.
Play Protect також може перевіряти застосунки, отримані поза Google Play, і надсилати невідомі пакети на аналіз коду. Якщо система блокує APK або позначає його як потенційно небезпечний, не слід обходити попередження лише тому, що інструкція на сторонньому сайті вимагає продовжити встановлення.
Після перевірки оновіть:
Налаштування → Безпека й конфіденційність → Система й оновлення → Оновлення системи Google Play.
Окремо перевірте звичайне оновлення Android і дату останнього патча безпеки. У дослідженні Operation NoVoice McAfee встановила, що отримані дослідниками експлойти не працювали на пристроях із рівнем патча безпеки від 1 травня 2021 року або новішим. Водночас дослідники не виключали наявності інших невивчених компонентів кампанії.
Як правильно видалити підозрілий застосунок
Спочатку вимкніть інтернет, якщо програма демонструє очевидну підозрілу активність: відкриває рекламу, приховує вікна, самостійно запускається або перешкоджає видаленню.
Потім:
- заберіть доступ до спеціальних можливостей;
- вимкніть права адміністратора пристрою;
- забороніть показ поверх інших програм;
- вимкніть доступ до сповіщень і встановлення APK;
- відкрийте сторінку застосунку та натисніть «Видалити»;
- перезавантажте телефон;
- запустіть Play Protect;
- перевірте підписки та історію платежів;
- змініть паролі до важливих акаунтів з іншого, надійного пристрою.
Якщо підозрілий застосунок мав доступ до SMS, сповіщень або спеціальних можливостей, потрібно змінити пароль Google, банківських сервісів, електронної пошти та месенджерів. Активні сеанси слід завершити через налаштування відповідних акаунтів.
Для банківських застосунків перевірте останні операції, шаблони платежів, підключені пристрої та ліміти. Якщо були невідомі списання або повідомлення про входи, потрібно негайно звернутися до банку за номером із його офіційного сайту чи зворотного боку картки.
Коли потрібне повне скидання телефона
Скидання Android до заводських налаштувань доцільне, коли звичайне видалення не усуває ознаки зараження або неможливо встановити, які системні параметри змінила програма.
Підстави для скидання:
- шкідливий застосунок повертається після видалення;
- реклама або сторонні вікна з’являються після очищення;
- невідомий адміністратор пристрою вмикається повторно;
- Play Protect регулярно знаходить загрозу;
- телефон самостійно встановлює програми;
- системні налаштування змінюються без участі користувача;
- після запуску банківських програм з’являються підозрілі форми входу;
- невідомий застосунок мав широкі права спеціальних можливостей;
- пристрій використовувався після встановлення підтвердженого банківського трояна.
Перед скиданням збережіть фотографії, документи й контакти. Не копіюйте сумнівні APK, невідомі резервні файли або повну резервну копію підозрілої програми.
Шлях зазвичай виглядає так:
Налаштування → Система → Параметри скидання → Видалити всі дані.
Після скидання:
- встановіть усі оновлення Android;
- увійдіть у Google-акаунт;
- не відновлюйте автоматично весь набір старих застосунків;
- інсталюйте програми по черзі з Google Play;
- повторно перевірте Play Protect;
- не використовуйте старі APK.
Для більшості звичайних шкідливих програм заводське скидання видаляє встановлені користувачем застосунки та їхні дані. Проте McAfee повідомила, що на старих пристроях з Android 7 і нижче rootkit Operation NoVoice міг змінювати системну бібліотеку, переживати стандартне скидання та вимагати перепрошивання чистою заводською прошивкою.
У такій ситуації потрібен офіційний сервіс виробника або встановлення перевіреної заводської прошивки для конкретної моделі. Використання випадкового образу системи зі стороннього форуму створює додатковий ризик.
Що перевірити на Android просто зараз
Повна базова перевірка займає кілька послідовних дій:
- відкрийте список усіх застосунків і видаліть невідомі програми;
- перевірте дозволи на SMS, мікрофон, геолокацію, телефон і контакти;
- перегляньте програми з доступом поверх інших вікон;
- вимкніть невідомі служби спеціальних можливостей;
- перевірте право встановлювати APK;
- відкрийте підписки й історію платежів Google Play;
- запустіть сканування Play Protect;
- оновіть Android і систему Google Play;
- змініть паролі, якщо підозрілий застосунок мав доступ до повідомлень або екрана.
П’ять наведених пакетів — лише частина оприлюдненого McAfee переліку. Перевіряти потрібно не тільки конкретні назви, а й усю модель поведінки програми: звідки вона встановлена, які дозволи отримала, чи має доступ до спеціальних налаштувань і чи пов’язана з невідомими платежами.
Наявність програми в Google Play знижує ризик стороннього встановлення, але не скасовує необхідності контролювати дозволи, підписки та оновлення системи.
Читайте також: Перезавантажується роутер через перепади напруги: причини, перевірка та захист Wi-Fi удома