Все новости

Старт акции «Вместе выгоднее!»

Thu, 02 Apr 2026 12:59:43 GMT

Компания «Доктор Веб» объявляет о старте акции «Вместе выгоднее!». Вы можете защитить свои компьютеры и мобильные устройства со скидкой до 10%.

Сегодня злоумышленники атакуют любые устройства: от ноутбуков и смартфонов до устройств умного дома. Фишинговые письма, вредоносный код в поддельных мобильных приложениях, поэтому защита необходима всем гаджетам.

Предложение распространяется на решения Dr.Web Security Space и Dr.Web Security Space для мобильных устройств: вы выбираете удобную комбинацию устройств и подходящий срок действия лицензии.
Например, защита одного ноутбука и двух мобильных устройств на год обойдется всего в 2 315,15 рублей.

Срок действия акции — до 30 июня 2026 года включительно.
Перейти к акции

«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2026 года

Wed, 01 Apr 2026 00:00:00 GMT

Скачать PDF

1 апреля 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжилось снижение активности вредоносных программ Android.MobiDash и Android.HiddenAds, демонстрирующих надоедливую рекламу. Первые обнаруживались на защищаемых устройствах на 32,70%, а вторые — на 7,09% реже по сравнению с IV кварталом минувшего года. Они уступили лидерство банковским троянам семейства Android.Banker, активность которых за последние 3 месяца увеличилась более чем в 2,5 раза. В результате те стали самыми распространенными Android-угрозами. Такие вредоносные приложения перехватывают СМС с кодами подтверждения банковских операций, демонстрируют фишинговые окна, а также могут имитировать внешний вид настоящего банковского ПО для кражи конфиденциальных данных. Пользователи чаще всего сталкивались с троянами подсемейства Android.Banker.Mamont, куда входят разнообразные вредоносные программы.

Широкое распространение (15,35% от общего числа детектирований) в I квартале получили приложения, в которые при помощи хакерских инструментов для моддинга NP Manager добавлен мусорный код с целью запутывания логики. C осени прошлого года эти инструменты активно используются в троянах семейства Android.Banker.Mamont для противодействия обнаружению антивирусами, поэтому мы предупреждаем о том, что то или иное приложение было модифицировано. Подобные программы антивирусные продукты Dr.Web детектируют как Tool.Obfuscator.TrashCode.

Другим распространенным потенциально опасным ПО, несмотря на снижение числа детектирований на 31,65%, вновь стали программы, модифицированные при помощи утилиты NP Manager (детектируются Dr.Web как Tool.NPMod). Данная утилита содержит различные модули для защиты и обфускации кода программ, а также обхода проверки их цифровой подписи после модификации. Киберпреступники используют ее для защиты вредоносного ПО с целью затруднить его обнаружение антивирусами.

Самыми распространенными нежелательными приложениями стали поддельные антивирусы Program.FakeAntiVirus, которые якобы обнаруживают угрозы и для их «лечения» требуют приобрести полную версию. Кроме того, пользователи вновь сталкивались с программами из семейств Program.FakeMoney и Program.CloudInject. Первые якобы позволяют зарабатывать на выполнении различных заданий. Вторые представляют собой ПО, модифицированное через облачный сервис CloudInject. С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать.

Среди рекламного ПО лидерами по числу детектирований стали программы-оптимизаторы Adware.Bastion.1.origin. Они периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы. Их целью является демонстрация рекламы во время «оптимизации». Другим популярным рекламным ПО были приложения Adware.Opensite.15, которые злоумышленники выдают за чит-инструменты для получения ресурсов в играх. На самом деле такие программы загружают различные сайты с объявлениями. Распространение вновь получили и программы со встроенными рекламными модулями Adware.AdPush.

В январе компания «Доктор Веб» проинформировала пользователей об Android.Phantom — новом семействе троянских приложений-кликеров. Наши вирусные аналитики выявили несколько источников распространения этих вредоносных программ. Среди них — официальный каталог приложений для устройств Xiaomi GetApps, где трояны были внедрены в ряд игр. Кроме того, киберпреступники распространяли кликеры вместе с модами популярных приложений через различные Telegram-каналы, серверы Discord, онлайн-сборники ПО и вредоносные сайты.

С помощью Android.Phantom злоумышленники накручивают рекламные клики на веб-сайтах, применяя для этого технологии машинного обучения и WebRTC — технологию передачи потоковых данных (в том числе видео) через браузер. Трояны загружают в невидимом WebView целевые интернет-ресурсы вместе с JavaScript-кодом для симуляции действий пользователя. Взаимодействие с объявлениями происходит в одном из двух режимов. Если на устройстве возможно использование WebRTC, кликеры Android.Phantom транслируют злоумышленникам виртуальный экран с загруженным сайтом, и те управляют им вручную или с использованием автоматизированной системы.

Если WebRTC недоступен, применяются автоматизированные сценарии на языке JavaScript, которые используют фреймворк TensorFlowJS. Кликеры скачивают с удаленного сервера необходимую поведенческую модель, а также JavaScript, содержащий сам фреймворк и все необходимые функции для работы модели и взаимодействия с целевыми сайтами.

В течение I квартала антивирусная лаборатория компании «Доктор Веб» зафиксировала появление новых угроз в каталоге Google Play. Среди них — множество троянских приложений Android.Joker, а также вредоносные программы Android.Subscription.23 и Android.Subscription.24. Все они созданы для подписки пользователей на платные услуги.

Главные тенденции I квартала

Банковские трояны Android.Banker стали самыми распространенными Android-угрозами
Злоумышленники стали чаще использовать инструменты для моддинга Android-программ с целью защиты банковских троянов
Продолжилось снижение активности рекламных троянов Android.MobiDash и Android.HiddenAds
Распространение троянских приложений Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
Обнаружены новые вредоносные приложения в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.Banker.Mamont.80.origin: Банковский троян, который перехватывает СМС с одноразовыми кодами от кредитных организаций, содержимое уведомлений, а также собирает другую конфиденциальную информацию. Она включает технические данные о зараженном устройстве, список установленных приложений, информацию о СИМ-карте, телефонных звонках, поступивших и отправленных СМС.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.675.origin: Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и, в некоторых случаях, устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57.origin: Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.

Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно вывести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2: Детектирование Android-программ, в которые при помощи хакерских инструментов для моддинга приложений добавлен мусорный код. Такая модификация выполняется с целью запутывания логики программ. Эта техника часто встречается в банковских троянах и в пиратских версиях ПО.
Tool.NPMod.3
Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.

Adware.Bastion.1.origin: Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями якобы о нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.AdPush.3.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, этот модуль собирает ряд конфиденциальных данных, а также способен загружать другие приложения и инициировать их установку.
Adware.Opensite.15: Приложения, выдаваемые за чит-инструменты для получения ресурсов в играх. На самом деле они созданы для демонстрации рекламы. Эти программы получают с удаленного сервера конфигурацию, в соответствии с которой загружают целевой сайт с объявлениями — баннерами, всплывающими окнами, видеороликами и т. д.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений, и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.

Угрозы в Google Play

В I квартале 2026 года специалисты антивирусной лаборатории «Доктор Веб» выявили в каталоге Google Play очередные вредоносные приложения Android.Joker, которые подписывают жертв на платные услуги. Трояны скрывались в ряде утилит для оптимизации работы Android-устройств, а также распространялись под видом мессенджеров, мультимедийного и другого ПО. Суммарно пользователи установили их, по меньшей мере, 370 000 раз.

Примеры вредоносных программ Android.Joker, выявленных в Google Play в I квартале 2026 года. Android.Joker.2511 был встроен в мессенджер Private Chat Message, а Android.Joker.2524 — в программу-фотокамеру Magic Camera

Кроме того, наши вирусные аналитики обнаружили вредоносные программы Android.Subscription.23 и Android.Subscription.24, также предназначенные для подключения пользователей к платным сервисам. Трояны загружают веб-сайты, на которых при помощи технологии Wap Click активируются платные мобильные подписки. На этих сайтах у пользователей запрашивается номер мобильного телефона, после чего происходит попытка автоматического подключения услуги. Оба вредоносных приложения суммарно были загружены из каталога Google Play свыше 1 500 000 раз.

Вредоносные программы Android.Subscription.23 и Android.Subscription.24 распространялись под видом приложений Stream Hive и Prime Link для управления личными финансами, однако их единственной функциональностью была загрузка сайтов для подключения владельцев Android-устройств к платным мобильным сервисам

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в I квартале 2026 года

Wed, 01 Apr 2026 00:00:00 GMT

Скачать PDF

1 апреля 2026 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2026 года общее число обнаруженных угроз снизилось на 6,77% по сравнению с IV кварталом прошлого года. Число уникальных угроз уменьшилось на 11,98%. Чаще всего на защищаемых устройствах обнаруживалось рекламное ПО и рекламные трояны, вредоносные программы-загрузчики, а также бэкдоры.

В почтовом трафике наиболее часто встречались вредоносные скрипты, бэкдоры и различные троянские приложения. Через электронные письма злоумышленники также распространяли фишинговые документы и эксплойты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.29750 и Trojan.Encoder.41868.

В I квартале 2026 года интернет-аналитики компании «Доктор Веб» выявили новые фишинговые сайты, включая поддельные ресурсы кредитных организаций и маркетплейсов, а также ряд других нежелательных сайтов.

В сегменте мобильных устройств наблюдалась возросшая активность банковских троянов. При этом наши вирусные аналитики отметили рост популярности методики защиты вредоносных программ от обнаружения антивирусным ПО, которая заключается в добавлении в них мусорного кода.

В январе эксперты «Доктор Веб» рассказали о троянах-кликерах Android.Phantom, которые используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Кроме того, в течение последних 3 месяцев мы зафиксировали появление очередных вредоносных программ в каталоге Google Play, среди которых были трояны, подписывающие пользователей на платные услуги.

Главные тенденции I квартала

Снизилось число угроз, обнаруженных на защищаемых устройствах
Среди детектируемых угроз сократилось число уникальных файлов
По сравнению с прошлым периодом наблюдения было зафиксировано меньше запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
Продолжился рост активности банковских троянов для Android-устройств
Пользователям угрожали вредоносные программы-кликеры Android.Phantom, которые используют, в том числе, технологии машинного обучения для накрутки кликов на веб-сайтах
В каталоге Google Play были выявлены очередные вредоносные программы

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы I квартала 2026 года

Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20655
Adware.Downware.20766: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4268: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379: Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

Наиболее распространенные угрозы I квартала 2026 года в почтовом трафике

JS.DownLoader.1225: Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Redirector.514: Вредоносный скрипт, перенаправляющий пользователя на подконтрольную злоумышленникам веб-страницу.

Шифровальщики

В I квартале 2026 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, сократилось на 31,51% по сравнению с IV кварталом минувшего года. Снижение произошло на фоне новогодних праздников и связанных с ними продолжительных выходных, в течение которых ряд киберпреступников мог приостановить активность и уйти на каникулы. При этом пользователи, которые все же пострадали от атак троянов-шифровальщиков в этот период, могли не сразу среагировать на произошедшие инциденты.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры I квартала 2026 года

Trojan.Encoder.35534 — 15,59% обращений пользователей
Trojan.Encoder.29750 — 3,23% обращений пользователей
Trojan.Encoder.41868 — 3,23% обращений пользователей
Trojan.Encoder.26996 — 1,62% обращений пользователей
Trojan.Encoder.44383 — 1,61% обращений пользователей

Сетевое мошенничество

За минувшие 3 месяца интернет-аналитики компании «Доктор Веб» выявили ряд новых поддельных сайтов маркетплейсов. На них злоумышленники предлагают принять участие в «распродаже» якобы невыкупленных заказов. Мошенническая схема заключается в следующем: «невостребованные» товары из заказов разделены на различные категории (электроника, одежда, обувь, косметика и т. д.) и якобы собираются в соответствующие коробки-сюрпризы. Их содержимое неизвестно и может включать, в том числе, дорогие вещи. При этом такие коробки потенциальным жертвам предлагается купить за относительно невысокую стоимость, что и является главной приманкой.

Поддельный сайт маркетплейса обещает «распродажу невостребованных заказов», которые якобы переполняют склады

Когда пользователь выбирает одну из коробок, ему предлагается оформить заказ и указать персональные данные, которые могут включать имя и фамилию, номер мобильного телефона и адрес электронной почты. Затем он перенаправляется на страницу оплаты через СБП. В итоге жертва лишается денег и передает мошенникам конфиденциальные сведения.

После оформления «заказа» жертве предлагается оплатить его через Систему быстрых платежей

Наши эксперты также выявили множество сайтов сервисов, предлагающих различные финансовые услуги, например — возможность оперативного получения микрозайма, кредита или прохождения процедуры банкротства. Такие сервисы сами не предоставляют эти услуги, как того ожидают пользователи, и являются лишь посредниками между клиентами и финансовыми организациями. Они на платной основе дают доступ к подборке потенциально подходящих вариантов, в то время как агрегация подобных финансовых предложений доступна в бесплатных источниках. Более того, эти сервисы не гарантируют успешный результат при подаче заявки. В то же время, оплата доступа является не единовременной и представляет собой платную подписку с периодическим списанием денег.

Один из веб-сайтов, где доступ к сервису по подбору финансовых предложений является платным и оформляется в виде подписки

В некоторых случаях подобные ресурсы могут вводить пользователей в заблуждение, предлагая одну услугу, например — трудоустройство, но фактически предоставлять по подписке доступ к тем же финансовым предложениям по получению кредитов, микрозаймов и т. д.

Веб-сайт обещает помощь в поиске работы, но после оплаты доступа к сервису вместо списка вакансий может предоставить финансовые предложения от партнеров на получение кредита, микрозайма и т. п.

Среди выявленных в I квартале фишинговых сайтов встречались поддельные интернет-ресурсы благотворительного спортивного забега «Зеленый марафон». На них посетителям предлагается зарегистрироваться для участия в марафоне, однако эти сайты не имеют отношения к мероприятию и созданы для сбора конфиденциальных данных пользователей.

Один из поддельных сайтов забега «Зеленый марафон»

Интернет-аналитики «Доктор Веб» также выявили очередные поддельные сайты инвестиционных сервисов, якобы имеющих отношение к различным кредитным организациям. Среди них были сайты, ориентированные на аудиторию из России, Казахстана и других стран. Мошенники обещают потенциальным жертвам высокую прибыль и для «доступа» к псевдоинвестиционным платформам просят пройти короткий опрос и зарегистрировать учетную запись, указав персональную информацию.

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одного из российских банков

Пример фишингового сайта, который злоумышленники выдают за официальный ресурс инвестиционного сервиса одной из кредитных организаций Казахстана

Узнайте больше о нерекомендуемых антивирусом Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2026 года продолжился рост активности банковских троянов Android.Banker, который наблюдался в IV квартале минувшего года. Наиболее распространенными среди них стали представители подсемейства Android.Banker.Mamont. В то же время вновь сократилось число детектирований рекламных троянов Android.MobiDash и Android.HiddenAds.

Среди выявленного потенциально опасного ПО лидировали программы, в которые при помощи инструментов для моддинга внедрен мусорный код (детектируются как Tool.Obfuscator.TrashCode). Такая методика в настоящее время активно применяется для защиты банковских троянов от обнаружения антивирусами. Кроме того, по-прежнему распространенными были приложения, модифицированные при помощи утилиты NP Manager (детектируются как Tool.NPMod).

Наиболее часто детектируемым нежелательным ПО стали поддельные антивирусы Program.FakeAntiVirus, которые для «лечения» якобы выявленных угроз требуют приобрести полную версию. Самым активным рекламным ПО в I квартале оказались программы Adware.Bastion.1.origin и Adware.Opensite.15. Первые представляют собой приложения-оптимизаторы, которые создают уведомления с сообщениями о якобы нехватке памяти и ошибках системы, чтобы показывать рекламу во время «оптимизации». Вторые являются поддельными чит-программами для получения различных ресурсов в играх, но в действительности лишь загружают веб-сайты с рекламой.

В январе 2026 года наша антивирусная лаборатория предупредила о троянах-кликерах Android.Phantom. Эти вредоносные приложения используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах. Киберпреступники распространяли их сразу несколькими способами: через каталог GetApps для устройств Xiaomi, Telegram-каналы, серверы Discord, сторонние сборники ПО и через вредоносные сайты.

В течение минувших 3 месяцев вирусные аналитики «Доктор Веб» выявили в каталоге Google Play новые угрозы, среди которых были троянские приложения Android.Joker и Android.Subscription, предназначенные для подписки пользователей на платные услуги.

Наиболее заметные события, связанные с «мобильной» безопасностью в I квартале

Банковские трояны Android.Banker стали самыми распространенными угрозами для Android-устройств
Киберпреступники чаще использовали утилиты для моддинга Android-приложений, чтобы защитить банковские трояны от обнаружения антивирусами
Продолжилась тенденция к снижению активности рекламных троянов Android.MobiDash и Android.HiddenAds
Пользователям угрожали трояны Android.Phantom, использующие машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах
В каталоге Google Play вновь распространялись вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в I квартале 2026 года читайте в нашем обзоре.

Dr.Web по подписке: новые цены

Wed, 25 Mar 2026 14:36:26 GMT

Компания «Доктор Веб» сообщает, что с 1 апреля 2026 года изменяются цены на решения Dr.Web по подписке.

Ниже представлены актуальные цены: чем больше устройств защищает пользователь, тем ниже стоимость использования подписки для одного устройства.

Dr.Web Персональный	Цена за 1 устройство, руб./день	Итоговая цена за общее количество устройств, руб./день
1 устройство	5,20	5,20
2 устройства	2,70	5,40
3 устройства	1,80	5,40
4 устройства	1,40	5,60
5 устройств	1,20	6,00

Dr.Web Мобильный	Цена за 1 устройство, руб./день	Итоговая цена за общее количество устройств, руб./день
1 устройство	2,10	2,10
2 устройства	1,10	2,20
3 устройства	0,70	2,10
4 устройства	0,60	2,40
5 устройств	0,50	2,50

Dr.Web Расширенный	Цена за 1 пару устройств*, руб./день	Итоговая цена за общее количество устройств, руб./день
1 пара устройств	6,90	6,90
2 пары устройств	3,60	7,20
3 пары устройств	2,50	7,50
4 пары устройств	1,90	7,60
5 пар устройств	1,60	8,00

* Одна пара устройств — это 1 персональный компьютер и 1 мобильное устройство.

Служба поддержки продаж всегда готова ответить на ваши вопросы.

Решение для защиты персональных компьютеров Dr.Web получило награду SKD AWARDS

Tue, 24 Mar 2026 14:00:00 GMT

Решение для защиты персональных компьютеров Dr.Web Security Space в очередной раз было отмечено отраслевой премией SKD AWARDS. Dr.Web Security Space был признан лучшим в категории «Антивирусы для ПК».

Для «Доктор Веб» это уже третья подобная награда подряд. В 2023 году Dr.Web Security Space 12.0 для Windows выиграл в категории «Безопасность персональных компьютеров», в 2024 антивирусное решение для персональных компьютеров вновь было признано лучшим, а Dr.Web Mobile Engine SDK победил в категории «Антивирусные движки».

SKD AWARDS — это ежегодная премия, проводимая SKD Labs, всемирно известной независимой лабораторией тестирования и сертификации в области информационной безопасности. Неофициально эту премию называют «Оскар для продуктов кибербезопасности» и рассматривают в качестве одного из важных показателей при оценке эффективности специализированных продуктов.

В рамках премии, продукты проходят серию тестов, в ходе которых оцениваются их функциональность, производительность, технические инновации, поведение в реальных сценариях, способность обнаружения угроз и реагирование на них.

«У вас произошла утечка персональных данных!». Анатомия мошеннического звонка

Mon, 09 Feb 2026 11:35:33 GMT

Телефонное мошенничество остается насущной проблемой нашего общества, несмотря на постоянное противодействие со стороны государства, банков и операторов связи. Никто не застрахован от обмана: в ловушку преступников может попасть как ребенок или пенсионер, так и искушенный взрослый.

Чтобы детально разобрать мошенническую схему и предостеречь других потенциальных жертв, сотрудница «Доктор Веб» «прошла» весь путь от первого звонка до финальной попытки выманить деньги. Это была сложносоставная комбинация с применением различных методов социальной инженерии.

Этап 1. Давление авторитетом

Мошенники атаковали коллектив компании «Доктор Веб» еще с декабря 2024 года. Они выходили на разных сотрудников с одним и тем же заходом: произошла утечка конфиденциальных данных, началось расследование, с вами свяжется куратор из ФСБ. Коммуникация всегда велась якобы от лица генерального директора или другого представителя руководящего звена компании. Поскольку данный подход не привел к желаемым результатам, преступники сменили тактику и сфокусировались на пожилых сотрудниках.

Пенсионеры — наиболее привлекательная для мошенников группа населения. Они более доверчивы, меньше разбираются в современных технологиях и имеют сформировавшееся уважение к представителям власти. Кроме того, пенсионеры уже не работают в компании (по крайней мере, именно так считают мошенники), поэтому хуже разбираются в том, кто текущий руководитель, как он разговаривает, что у него за характер.

Утром на телефон нашей сотрудницы, для краткости назовем ее N, поступил звонок через Телеграм. Звонящий представился генеральным директором «Доктор Веб», что подтверждалось его реальными фото и именем/фамилией. Но его аккаунт был создан менее суток назад, номер телефона скрыт, а голос и манера общения резко отличались от привычных. Злоумышленник ввел N в контекст произошедшей ситуации. Якобы произошла утечка персональных данных внутри компании. Для расследования инцидента создана специальная комиссия. Составлен список лиц, которые обязаны дать показания о случившемся. N также внесена в этот перечень, поэтому в течение дня ей позвонит сотрудник ФСБ. Планируемые каналы связи: мессенджер MAX или Телеграм. Если не получится связаться с N через них, поступит обычный звонок на мобильный номер. И поскольку скомпрометированы в том числе личные данные самой N, ей следует с полной серьезностью отнестись к разговору.

Примечателен факт, что мошенники всегда действуют под маской вышестоящего руководителя, пытаясь задавить авторитетом. Но зачастую это прикрытие и выдает их: они не знают внутренних взаимоотношений, корпоративной культуры, порядка принятия решений внутри компании, что раскрывает их ложь. Поэтому и стали атаковать пенсионеров!

Самым примечательным моментом данного этапа стало использование мессенджеров. Сотрудники правоохранительных органов всегда звонят напрямую на телефонный номер. Звонки через Телеграм или MAX — это коммуникация через интернет, что не предусмотрено для силовых ведомств.

Этап 2. Демонстрация легитимности

Далее в игру вступает «представитель ФСБ» — майор, старший следователь по особо важным делам. Он звонит N через Телеграм, но разговор не получается из-за отсутствия соединения. Лжемайор присылает сообщение, в котором представляется и прикрепляет фото своего удостоверения.

Подобные фотографии рассчитаны на доверчивых и невнимательных людей или тех, кто никогда не имел взаимоотношений с силовыми ведомствами:

фотография удостоверения на столе ничего не доказывает — мы не видим лица автора съемки, оно может не совпадать с фото в документе,
удостоверение предъявляют только при личном контакте, а не посылают через интернет,
сотрудники «Доктор Веб» за несколько минут нашли в открытом доступе шаблоны подобных документов, куда с помощью ИИ можно вставить любое ФИО и фото. Получившиеся изображения неотличимы от подлинных фотографий.

Поскольку дозвониться через Телеграм не получилось, лжемайор предлагает продолжить общение в национальном мессенджере МАХ, который позиционируется как безопасный. Вот только он не может найти N в мессенджере и предлагает ей самой прислать приглашение для запуска чата. Но даже после этого у мошенника не получается дозвониться, так как у N стоит ограничение — звонки только от абонентов из списка контактов. Поэтому он предлагает N самостоятельно позвонить в чате. Эти манипуляции необходимы для создания иллюзии достоверности и укрепления атмосферы доверия, ведь слишком быстрый и простой контакт может навести на подозрения. В итоге связь была установлена и разговор продолжился в течение часа.

Этот небольшой, но важный эпизод показывает, что введенные не так давно ограничения средств связи не работают так, как было задумано. Злоумышленники используют социальную инженерию, чтобы заставить жертв звонить им самостоятельно — без разницы где. Не стоит вопрос безопасности и защищенности MAX или Телеграм, поскольку тот или другой мессенджер выступают просто в роли инструмента связи. Статистика утверждает, что количество мошеннических звонков снизилось — но взамен выросло их качество. Преступники перестали практиковать массовые обзвоны и сосредоточились на точечных операциях.

Мы не будем подробно пересказывать все перипетии беседы, остановимся на нескольких моментах, важных для понимания техники обмана. Прежде всего лжемайор пытался убедить N в подлинности своей личности. Он предложил зайти на официальный сайт Федеральной службы безопасности, перейти в раздел «Справочная информация», затем выбрать конкретный округ Москвы, посмотреть контактный номер подразделения и своими глазами убедиться, что контакт в Телеграме совпадает. Цифры действительно были те же, вот только в профиле контакта этот телефонный номер указан в строке «Имя». А в самом мессенджере MAX контакт мошенника зарегистрирован со скрытым номером.

Этап 3. Эскалация и прессинг

Лжемайор настаивал и даже требовал соблюдения строгой конфиденциальности во время беседы и после нее. Он несколько раз заострил внимание, что собеседница должна находиться в комнате одна и никто не имеет права помешать разговору — даже члены семьи. Для большего эффекта были названы имена домочадцев N. Далее по ходу разговора притворяющийся майором несколько раз переспрашивал, одна ли N в комнате, и подчеркивал необходимость соблюдения строжайшей секретности.

По мере развития беседы раскручивалась мошенническая легенда, параллельно с усилением напряжения. Злоумышленник подтвердил слова первого звонившего о том, что произошла утечка персональных данных и силовое ведомство подозревает кого-то из руководителей компании или HR-специалистов. Росфинмониторингом была пресечена попытка крупного денежного перевода от лица N на нужды ВСУ. Приведем небольшой отрывок, чтобы продемонстрировать отработку возражений:

N: Простите, но тут какая-то ошибка. Я не держу такие большие суммы на счетах, поэтому их просто физически невозможно перевести куда-либо.
Лжемайор: Попытка перевода могла быть совершена и с кредитного счета, не обязательно депозит.
N: Возможно, но я специально для таких случаев оформила самозапрет на оформление кредитов.
Лжемайор: К сожалению, самозапрет на дает 100% гарантии. Некоторые нечистоплотные сотрудники коммерческих банков могут игнорировать предписания ради собственной выгоды. Учтите, если мы зафиксируем очередную попытку перевода, вы будете главной подозреваемой. Придется возбуждать дело и разбираться.

Наша сотрудница была готова к подобному повороту событий, но, как правило, такого рода обвинения производят ошеломляющий эффект. Речь идет не о рядовой краже — об измене Родине. Для людей пожилого возраста это чудовищное преступление. После таких слов сложно сохранить присутствие духа, рассуждать логично, сосредоточиться на несостыковках. Ситуацию усугубляет осознание того, что жертве предъявляют обвинения, которые практически невозможно опровергнуть: кто-то где-то на стороне воспользовался персональными данными, но главный подозреваемый — вы!

Для усиления психологического давления, лжемайор присылал изображения разных документов: письмо из Росфинмониторинга в ФСБ с просьбой об инициировании расследования и повестка о вызове в качестве подозреваемого. Наши юристы внимательно изучили их и выделили детали, указывающие на фальшивое происхождение. Мы приводим только некоторые из них, так как детальный публичный разбор ошибок в фальшивых документах потенциально вооружает преступников:

повестки не направляются через мессенджеры, об этом неоднократно заявляли представители правоохранительных органов;
текст повестки краток и не содержит разъясняющих и угрожающих формулировок;
согласно ст. 188 УПК РФ «Порядок вызова на допрос» повесткой на допрос может быть вызван только свидетель или потерпевший. Подозреваемого задерживают, согласно ст. 92 УПК РФ «Порядок задержания подозреваемого». Такой документ, как «Повестка о вызове подозреваемого на допрос» не может существовать согласно юридическим нормам.

Люди не в состоянии обращать внимание на подобные нюансы, оказавшись под давлением. 

Этап 4. Кульминация комбинации

Переходим к главному пункту мошенничества, ради которого затевалась комбинация. Лжемайор перечислил N банки, где находятся ее счета: Сбер, Альфа, Озон и ОТП-банк. Последний — некая венгерская кредитная организация, через которую будто бы совершаются переводы на Украину. Заботливый лжемайор высказал пожелание предотвратить возможное преступление и защитить N от карающей длани Фемиды. Для этого он передаст заявку в ЦБ, откуда с потенциальной жертвой свяжется сотрудник и поможет «все правильно сделать» (предположительно, перевести деньги на безопасный счет).

К этому моменту N уже определила основные черты схемы и решила прервать общение. Но злоумышленник не хотел отпускать добычу. Прикрываясь статьей 205.6 УК РФ «Несообщение о преступлении», он заявил, что ему бы очень не хотелось, чтобы N потом пыталась связаться с ним, обрывая его телефон с просьбой помочь. Но поскольку N отказалась от сотрудничества, лжемайор уведомил, что вынужден обратиться к регулятору для блокировки счетов и наложения ареста на имущество, в том числе ближайших родственников, а далее прислать повестку. На этом общение с лжемайором завершилось.

Этап 5. Провоцирование повторного контакта

Поскольку мошенники не добились своей главной цели, они попытались спровоцировать N саму связаться с ними. Буквально через несколько минут героине позвонили из Сбера и попросили подтвердить подачу заявки на блокировку карты. После отрицательного ответа карта заблокирована не была.

В свою очередь, Альфа-банк прислал несколько СМС о блокировке каждой из карт. Для решения проблемы N пришлось позвонить на горячую линию и сделать запрос об отмене. Как оказалось, одна из соучастниц мошенничества ранее также позвонила на горячую линию и представилась N. Назвав полностью ФИО, а также дату рождения, преступница попросила заблокировать карты. Для сотрудника банка этих данных оказалось достаточно.

Выводы

Инцидент не стал удачным для мошенников благодаря принятым предупредительным мерам в «Доктор Веб». Атаки активно происходили в течение всего 2025 года, поэтому все сотрудники компании были неоднократно проинструктированы и имели четкие внутренние регламенты, как действовать в подобных случаях.

Сотрудница N, будучи опытным и высококвалифицированным специалистом, провела диалог с мошенниками не спонтанно, а осознанно и хладнокровно, следуя внутренним инструкциям. Именно они не позволили эмоциям взять верх над логикой и вниманием к деталям. Контакт помог собрать ценную информацию без какого-либо риска или ущерба, превратив потенциальную угрозу в детальный разбор мошеннической схемы.

Таким образом, устойчивость к мошенничеству строится на:

четких корпоративных правилах, дающих сотрудникам однозначный алгоритм действий,
постоянном обучении и регулярном повышении осведомленности, превращающих каждого сотрудника в осознанного участника системы безопасности.

Именно подобный комплексный и системный подход, в отличие от технических блокировок, создает настоящий щит, способный противостоять социальной инженерии, и вселяет в сотрудников уверенность в своей правоте. Мы хотим обратить особое внимание руководителей организаций, что именно от их активной роли зависит, насколько весь коллектив будет готов к подобным атакам и манипуляциям.

Прекращена продажа решений Dr.Web по подписке через ПАО «Ростелеком»

Fri, 06 Feb 2026 17:21:38 GMT

Компания «Доктор Веб» информирует, что с 6 февраля 2026 года прекращена продажа новых лицензий и продление действующих подписок через ПАО «Ростелеком».

Что необходимо знать пользователям:

Ваши устройства все еще под защитой Dr.Web. Антивирус полноценно функционирует до последнего дня действия лицензии. Мы гарантируем бесперебойную работу, полную техническую поддержку, своевременное обновление антивирусных баз и всех компонентов программы.
Для продолжения защиты вам необходимо приобрести новую лицензию в нашем официальном интернет-магазине после окончания срока действия вашей текущей лицензии от ПАО «Ростелеком».

Чтобы сделать переход на прямое обслуживание «Доктор Веб» плавным, простым и выгодным, мы подготовили специальное предложение для абонентов ПАО «Ростелеком»: дополнительные 30 дней защиты в подарок.

Чтобы им воспользоваться, нужно сделать следующее:

После окончания действия лицензии удалите текущую версию антивируса Dr.Web, установленную через ПАО «Ростелеком».
Оформите новую подписку на официальном сайте «Доктор Веб», используя промокод АНТИВИРУС. Он дает право при покупке подписки Dr.Web Персональный, Мобильный или Расширенный на 30 дней на любое количество устройств получить дополнительно еще 30 дней в подарок. Таким образом, вы заплатите за 30 дней, а подписка продлится 60.
Скачайте дистрибутив с нашего сайта и установите его.

Получить дополнительную информацию о предложении или задать вопросы о переходе можно специалистам Службы поддержки продаж «Доктор Веб».

Получены сертификаты соответствия ФСБ России на продукты Dr.Web Desktop Security Suite, Dr.Web Server Security Suite и Dr.Web Enterprise Security Suite

Mon, 02 Feb 2026 13:19:07 GMT

Компания «Доктор Веб» сообщает, что получены новые сертификаты соответствия ФСБ России на программные продукты Dr.Web Desktop Security Suite, Dr.Web Server Security Suite и Dr.Web Enterprise Security Suite.

Рекомендуем пользователям обновить свое ПО до новой сертифицированной версии.

Подробнее о продуктах

Dr.Web Desktop Security Suite для ОС Windows:

версия 12.0.8,
сертификат соответствия № СФ/СЗИ-0844,
срок действия: 05.12.2025 — 31.10.2030,
средство антивирусной защиты Классов В2 и Г2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт предназначен для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения.

Dr.Web Server Security Suite для ОС Windows:

версия 12.0.8,
сертификат соответствия № СФ/СЗИ-0843,
срок действия: 05.12.2025 — 31.10.2030,
средство антивирусной защиты Класса Б2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт предназначен для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения.

Dr.Web Enterprise Security Suite:

версия 13,
сертификат соответствия № СФ/СЗИ-0873,
срок действия: 29.01.2026 — 29.01.2031,
средство антивирусной защиты Классов А2, Б2, В2 и Г2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт применяется для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения,
решение предназначено для организации и управления единой и надежной комплексной антивирусной защитой внутренней сети компании, включая мобильные устройства.

Напоминаем, что поставки лицензий на сертифицированные продукты Dr.Web сопровождаются полным комплектом сертификационных материалов.

По вопросам обновления ПО или приобретения продуктов Dr.Web обращайтесь к партнерам или к специалистам Службы поддержки продаж «Доктор Веб».

Акция для бизнеса и государственных учреждений: переход на Dr.Web со скидкой 50%

Fri, 30 Jan 2026 11:50:53 GMT

С 1 февраля 2026 года компания «Доктор Веб» запускает акцию для бизнеса и государственных учреждений — скидка 50% при переходе на решения Dr.Web с антивирусов других производителей.

Акция действует до 31 декабря 2026 года включительно и распространяется на продукты Dr.Web для бизнеса и госучреждений:

Dr.Web Desktop Security Suite — защита рабочих станций,
Dr.Web Server Security Suite — защита серверов,
Dr.Web Mobile Security Suite — защита мобильных устройств и планшетов,
Dr.Web Mail Security Suite — проверка почтового трафика,
Dr.Web Gateway Security Suite — проверка интернет-трафика,
Dr.Web ATM Shield — защита встроенных устройств,
Комплект для малого бизнеса — оптимальное решение для малого бизнеса.

Предложение адресовано организациям, которые:

Планируют переход на ПО Dr.Web
Ранее не использовали продукты Dr.Web для бизнеса и госучреждений, но планируют переход с решений других вендоров.
Ранее использовали ПО Dr.Web
Использовали решения Dr.Web в прошлом, но не приобретали лицензии со скидкой по программе миграции «Переходи на зеленый» на соответствующие продукты.
Планируют расширение лицензии
Используют Dr.Web Desktop Security Suite для защиты от 1 до 5 рабочих станций и готовы в рамках акции увеличить лицензию от 50 до 250 рабочих станций или приобрести другие продукты Dr.Web в соответствии с условиями акции.

Общие условия:

Организация должна иметь действующую или истекшую не более 30 дней назад лицензию другого производителя на аналогичные защищаемые объекты.
Акция не применяется, если организация ранее уже приобретала желаемый продукт по программе миграции «Переходи на зеленый».
Скидка предоставляется на одно-, двух- или трехлетние лицензии в рамках действующего прайс-листа.
Скидка не суммируется с другими акционными предложениями.

Как воспользоваться акцией

Для участия в Акции обратитесь к партнерам «Доктор Веб» либо воспользуйтесь сервисом «Конструктор лицензий для бизнеса и госучреждений».
Дополнительную информацию можно получить у партнеров или у специалистов Службы поддержки продаж «Доктор Веб».

Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и видеотрансляции для накрутки кликов

Wed, 21 Jan 2026 05:00:00 GMT

21 января 2026 года

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и исследовали новое семейство троянов с функциональностью кликера. Их объединяет одна особенность: они либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и выполняются по команде с него. Вредоносное ПО данного типа заражает смартфоны на ОС Android.

Один из каналов распространения троянов — официальный каталог приложений для устройств Xiaomi GetApps.

Нам удалось отследить несколько мобильных игр, которые содержат вредоносное ПО: Creation Magic World (более 32 тыс. скачиваний), Cute Pet House (>34 тыс. скачиваний), Amazing Unicorn Party (>13 тыс. скачиваний), Академия мечты Сакура (>4 тыс. скачиваний), Theft Auto Mafia (>61 тыс. скачиваний), Open World Gangsters (>11 тыс. скачиваний). Все зараженные игры выложены от лица одного разработчика, SHENZHEN RUIREN NETWORK CO., LTD., троянцы вшиты в них и запускаются вместе с приложениями.

В первоначальных версиях игр вредоносного ПО не было. 28/29 сентября разработчик публикует обновления для игр, в которые встроен троян Android.Phantom.2.origin. Он работает в двух режимах, которые в коде программы условно называются режим сигнализации (signaling) и фантом (phantom).

В режиме phantom вредоносное ПО использует скрытый от пользователя встроенный браузер на основе виджета WebView. В него по команде с сервера hxxps[:]//playstations[.]click загружается целевой сайт для накрутки кликов и файл JavaScript «phantom». Последний содержит в себе сценарий для автоматизации действий на рекламных объявлениях загруженного сайта и фреймворк машинного обучения TensorFlowJS. Модель для этого фреймворка загружается с сервера hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. В сценариях для работы с некоторыми видами рекламы Android.Phantom.2.origin размещает браузер на виртуальном экране и делает скриншоты. Троян анализирует их с помощью модели для фреймворка TensorFlowJS, а затем кликает по обнаруженным элементам.

В альтернативном режиме signaling троянец подключается к стороннему серверу при помощи WebRTC. Эта технология позволяет браузерам и приложениям устанавливать прямое соединение для обмена данными, аудио и видео в режиме реального времени без установки дополнительного ПО. В режиме signaling уже упомянутый hxxps[:]//dllpgd[.]click выполняет роль сигнального сервера, устанавливающий соединения между узлами WebRTC. Также данный сервер определяет режим работы трояна, phantom или signaling. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click. Далее Android.Phantom.2.origin тайно от пользователя транслирует злоумышленникам видео виртуального экрана с загруженным в браузер сайтом. Троянец дает возможность подключенному узлу WebRTC удаленно управлять браузером на виртуальном экране: кликать, скроллить, вводить или вставлять текст в форму для ввода.

15/16 октября вышеуказанные игры получили еще одно обновление. В дополнение к Android.Phantom.2.origin в них встроили модуль Android.Phantom.5. Он является дроппером, который содержит внутри себя загрузчик удаленного кода Android.Phantom.4.origin. Эта программа загружает еще несколько троянов, предназначенных для имитации кликов на различных сайтах. Эти модули проще кликера Android.Phantom.2.origin — они не используют машинное обучение или видеотрансляции, а руководствуются сценариями для кликов, написанных на JavaScript.

Чтобы использовать технологию WebRTC на Android, трояну необходимо подключить специальную библиотеку с Java API, которая не входит в состав стандартной ОС и скачанных приложений. Поэтому поначалу троян работал преимущественно в режиме phantom. С добавлением в приложения Android.Phantom.5, троян Android.Phantom.2.origin получил возможность использовать загрузчик удаленного кода Android.Phantom.4.origin для загрузки необходимой библиотеки.

Злоумышленники используют также и другие каналы распространения троянов Android.Phantom.2.origin и Android.Phantom.5. К примеру, моды музыкального стриминга Spotify с разблокированными premium функциями. Они размещаются на различных сайтах, вот несколько примеров:

Сайт Spotify Plus

Сайт Spotify Pro

И в специальных телеграм-каналах:

Spotify Pro
(54 400 подписчиков)

Spotify Plus – Official
(15 057 подписчиков)

Моды Spotify, размещенные на сайтах и в указанных на скриншотах телеграм-каналах, содержат Android.Phantom.2.origin и библиотеку для организации связи по стандарту WebRTC под Android.

Кроме модов Spotify, злоумышленники вшивают трояны в моды других популярных приложений: YouTube, Deezer, Netflix и др. Они размещены на специальных сайтах с модами:

Сайт Apkmody

Сайт Moddroid

Сайт Moddroid содержит раздел «Выбор редакции». Из 20 приложений в нем только 4 были чистыми. Остальные 16 содержали трояны семейства Android.Phantom. Приложения на этих двух сайтах загружаются с одного CDN-сервера hxxps[:]//cdn[.]topmongo[.]com. У этих сайтов есть свои телеграм-каналы, где пользователи скачивают зараженные троянам моды:

Moddroid.com
(87 653 подписчика)

Apkmody Chat
(6 297 подписчиков)

Также для своих целей преступники используют сервера Discord. Самый большой из них — Spotify X, около 24 тысяч подписчиков.

Администраторы Discord-серверов не стесняются напрямую предлагать зараженные моды. Например, на скриншоте выше администратор от лица сервера предлагает скачать мод музыкального стриминга Deezer вместо Spotify, поскольку последний перестал работать.

По ссылке скачивается рабочий мод. Его код защищен коммерческим упаковщиком, внутри которого скрывается троян Android.Phantom.1.origin. Это загрузчик удаленного кода, по команде с сервера hxxps[:]//dllpgd[.]click он загружает уже нам знакомые Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, в том числе номер телефона, геолокацию, список установленных приложений.

Этот скриншот с сервера показывает, на каких языках говорят пользователи, которые становятся объектами заражения. Для доступа к чатам на языках, отличных от английского, необходимо поставить реакцию с соответствующим флагом. Больше всего отметились пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, который является основным языком сервера). Также администраторы сервера не предусмотрели чатов для многих стран Азии.

Трояны могут нанести существенный вред владельцам зараженных устройств. Перечислим несколько возможных исходов:

Невольное соучастие. Смартфон пользователя может быть использован в качестве бота при DDoS-атаке, тем самым делая владельца невольным соучастником киберпреступления.
Незаконная активность. Через устройство злоумышленники могут совершать незаконную онлайн-деятельность, к примеру, использовать смартфон в мошеннических схемах или рассылать спам-сообщения.
Повышенное потребление заряда и трафика. Посторонняя деятельность разряжает аккумулятор и расходует интернет-трафик.
Утечка персональных данных. Android.Phantom.5.origin является шпионом и может передавать данные об устройстве и владельце.

Трояны этого семейства представляют угрозу для владельцев мобильных устройств на Android, не защищенных актуальным антивирусным ПО. Российские пользователи испытывают трудности с регистрацией в зарубежных приложениях или оплатой подписок. Ситуация подталкивает искать и использовать альтернативные, зачастую полулегальные, способы получения услуг этих компаний. Эта ситуация на руку вирусописателям, ведь пользователям приходится рисковать и доверять сомнительным вариантам. Особую группу риска составляют дети, которые не думают о правилах цифровой гигиены, желая всего лишь поиграть, послушать музыку или посмотреть видеоклипы.

Мы рекомендуем не скачивать моды на сомнительных сайтах и в каналах. Как правило, проверка источников модов или приложений требует времени, опыта и насмотренности. Поэтому лучший вариант обеспечить себе и своим близким гарантированное спокойствие — использовать Dr.Web Security Space для мобильных устройств. Он защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.

Индикаторы компрометации
Подробнее о Android.Phantom.1.origin
Подробнее о Android.Phantom.2.origin
Подробнее о Android.Phantom.3
Подробнее о Android.Phantom.4.origin
Подробнее о Android.Phantom.5
Подробнее о Android.Phantom.5.origin

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

Скачать PDF

15 января 2026 года

Главное

В 2025 году пользователи Android-устройств чаще всего сталкивались с рекламными троянами, а также с программами-подделками, которые используются в мошеннических целях.

Самым распространенным нежелательным ПО, как и годом ранее, стали приложения, в игровой форме предлагающие выполнять те или иные задания и получать за это виртуальные награды. Они обещают возможность конвертировать вознаграждение в настоящие деньги, но на самом деле такой возможности в программах не предусмотрено.

Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений, которые были модифицированы при помощи утилиты NP Manager. Она обфусцирует и защищает код модифицируемых программ от анализа и обнаружения, а также позволяет обходить проверку цифровой подписи после их изменения. Наиболее часто детектируемыми рекламными программами стали неофициальные модификации мессенджера WhatsApp, которые автоматически открывают рекламные ссылки при работе с приложением.

В минувшем году были зафиксированы новые случаи внедрения вредоносных программ в прошивку различных моделей Android-устройств. Об одном из них мы рассказали весной 2025 года. Киберпреступникам удалось предустановить троян Android.Clipper.31 на несколько бюджетных моделей смартфонов и с его помощью похищать криптовалюту жертв.

Также весной наши специалисты обнаружили троянскую программу Android.Spy.1292.origin, которую вирусописатели встроили в одну из модифицированных версий картографического ПО Alpine Quest. Вредоносное приложение было нацелено на российских военнослужащих и применялось в целях кибершпионажа.

В конце лета антивирусная лаборатория «Доктор Веб» проинформировала о бэкдоре Android.Backdoor.916.origin, который распространялся через популярные мессенджеры. Злоумышленники использовали его для слежки за сотрудниками российских компаний и сбора их конфиденциальной информации.

А уже осенью мы рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, которого киберпреступники встроили в модификации мессенджера Telegram X. Эта вредоносная программа позволяла взламывать учетные записи Telegram жертв и управлять самим мессенджером от имени пользователей.

За минувшие 12 месяцев антивирусная лаборатория «Доктор Веб» выявила в каталоге Google Play более 180 угроз, которые в общей сложности были загружены свыше 2 165 000 раз. Среди них были различные варианты троянов, подписывающих пользователей на платные услуги, программы-подделки, которые применяются в мошеннических целях, а также новое рекламное и нежелательное ПО.

В 2025 году вирусописатели продолжили использовать различные техники, направленные на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Одним из популярных методов было конвертирование DEX-кода в C-код. Кроме того, наши вирусные аналитики отметили, что при создании вредоносного ПО злоумышленники применяют ИИ-ассистентов, которые помогают писать код.

Тенденции прошедшего года

Рекламные трояны вновь стали наиболее распространенными Android-угрозами
Выросла популярность утилиты NP Manager, которая обфусцирует код модифицируемых Android-приложений и позволяет обходить проверку их цифровой подписи после модификации
Возросла активность банковских троянов
Выявлены новые случаи заражения прошивок Android-устройств
Киберпреступники продолжили использовать как уже известные техники для защиты вредоносных программ от детектирования и анализа, так и новые приемы
Вирусописатели активно применяли ИИ-помощников для написания кода вредоносных приложений
Появление новых угроз в каталоге Google Play

Наиболее интересные события 2025 года

В апреле минувшего года эксперты «Доктор Веб» выявили масштабную кампанию по краже криптовалют у владельцев Android-устройств. Злоумышленники получили доступ к цепочке поставок ряда китайских производителей и внедрили в прошивку нескольких бюджетных моделей смартфонов троянскую программу Android.Clipper.31. Вирусописатели встроили ее в модифицированную версию мессенджера WhatsApp. Для модификации использовался инструмент LSPatch, позволяющий менять логику работы приложений без изменения их кода.

Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат атакующим. При этом троян скрывает подмену, и в таких сообщениях жертвам демонстрируются корректные кошельки. Android.Clipper.31 также отправляет злоумышленникам все изображения в формате jpg, png и jpeg для поиска в них сохраненных мнемонических фраз, позволяющих получить доступ к криптокошелькам. Киберпреступники встроили Android.Clipper.31 и в десятки других программ, среди которых были популярные приложения криптокошельков, сканеры QR-кодов и прочие мессенджеры, в том числе — Telegram. Эти модификации распространялись через вредоносные сайты.

В 2025 году отмечались и другие случаи проникновения вредоносных программ в системную область Android-устройств. Например, еще одной группе злоумышленников удалось внедрить новые версии опасных троянов Android.Triada в прошивку ряда бюджетных смартфонов. Вредоносные программы Triada опасны тем, что способны заражать системный процесс Zygote. Тот непосредственно участвует в запуске всех приложений в системе, поэтому и трояны Triada в дальнейшем могут внедряться в любое приложение на устройстве, фактически получая над ним полный контроль. Злоумышленники используют этих троянов для загрузки и установки других вредоносных программ, а также нежелательных и рекламных приложений. Кроме того, с их помощью они могут шпионить за жертвами, подписывать их на платные услуги и т. д. Также были выявлены новые случаи заражения прошивок TV-приставок на базе Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году. Vo1d представляет собой бэкдор, который помещает свои компоненты в системную область зараженных устройств и по команде атакующих способен скрытно скачивать и устанавливать стороннее ПО.

Также в апреле наша антивирусная лаборатория зафиксировала кампанию по распространению трояна-шпиона Android.Spy.1292.origin, нацеленного на российских военнослужащих. Злоумышленники встроили вредоносную программу в одну из версий картографического ПО Alpine Quest и распространяли модификацию через созданный ими Telegram-канал, который выдавали за официальный, а также через один из российских каталогов Android-приложений.

Telegram-канал, через который злоумышленники распространяли вредоносную модификацию Alpine Quest, содержащую Android.Spy.1292.origin

Android.Spy.1292.origin передавал киберпреступникам данные об учетных записях и номере мобильного телефона, контакты из телефонной книги, геолокацию устройства и сведения о хранящихся на нем файлах. Троян мог похищать определенные файлы по команде атакующих. Тех интересовали конфиденциальные документы, которые пользователи отправляли через популярные мессенджеры, а также файл журнала локаций приложения Alpine Quest.

В августе мы рассказали о случаях распространения бэкдора Android.Backdoor.916.origin через личные сообщения в популярных мессенджерах. Атакующие предлагали потенциальным жертвам установить «антивирус» из прикрепленного к сообщениям APK-файла, в котором на самом деле и скрывалась вредоносная программа. Наша антивирусная лаборатория обнаружила первые версии Android.Backdoor.916.origin в январе 2025 года и с момента обнаружения отслеживала его активность, что и позволило оперативно выявить данную кампанию.

Android.Backdoor.916.origin вводит пользователей в заблуждение, имитируя работу антивируса

После установки на Android-устройство Android.Backdoor.916.origin позволяет похищать конфиденциальную информацию и следить за пользователем. Например, с помощью бэкдора злоумышленники могут прослушивать разговоры, передавать трансляцию с камеры, отслеживать местоположение и красть содержимое из мессенджеров и браузеров. Кроме того, Android.Backdoor.916.origin реализует функциональность кейлоггера для перехвата вводимого текста, в том числе — паролей. По оценкам наших специалистов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью для киберпреступников являются сотрудники российских компаний.

В октябре «Доктор Веб» опубликовал сведения о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, который наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Основным источником его распространения стали вредоносные сайты, куда потенциальные жертвы попадают через рекламу в мобильных приложениях. На этих сайтах пользователям предлагается установить Telegram X — якобы для поиска партнера для общения и свиданий. При этом такие интернет-ресурсы в большей степени ориентированы на жителей Индонезии и Бразилии. В то же время мы выявили этот бэкдор и в ряде сторонних каталогов Android-приложений.

Пример вредоносного сайта, с которого загружалась троянская версия Telegram X

Одной из задач Android.Backdoor.Baohuo.1.origin является кража конфиденциальных данных. Например, вредоносная программа похищает логин и пароль от учетной записи Telegram жертвы, историю переписки в мессенджере, входящие СМС, контакты из телефонной книги устройства, а также способна перехватывать содержимое буфера обмена. Однако злоумышленники используют ее не только в качестве шпионского приложения. С помощью Android.Backdoor.Baohuo.1.origin они фактически могут управлять взломанной учетной записью и контролировать работу Telegram X, изменяя его функциональность. Так, бэкдор позволяет незаметно добавлять пользователя и удалять его из Telegram-каналов, вступать от его лица в чаты и скрывать устройства, авторизованные для его учетной записи. Для выполнения действий, которые требуют вмешательства в логику работы приложения, используется фреймворк Xposed. Киберпреступники управляют бэкдором как традиционным способом — через C2-сервер, так и путем отправки команд через базу данных Redis, что ранее не встречалось в других вредоносных программах для ОС Android. Общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000. При этом были затронуты около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2025 году самыми распространенными Android-угрозами стали различные вредоносные программы — пользователи сталкивались с ними в 81,11% случаев. Следом с долей 10,73% расположились потенциально опасные приложения. Третье место заняли рекламные программы, которые обнаруживались в 5,89% случаев. Наименьшая активность наблюдалась со стороны нежелательного ПО: на него пришлось 2,27% детектирований.

По сравнению с годом ранее, доля вредоносных и потенциально опасных программ возросла, в то время как доля нежелательного и рекламного ПО снизилась.

Вредоносные приложения

На протяжении нескольких лет рекламные трояны семейства Android.HiddenAds остаются лидерами по числу детектирований вредоносного ПО. В 2025 году ситуация не изменилась, однако за прошедшие 12 месяцев их доля несколько сократилась — с 31,95% до 27,42%.

Эти трояны показывают навязчивую рекламу в виде полноэкранных баннеров и видеороликов. Чтобы пользователям было сложнее обнаружить и удалить вредоносные программы с зараженных устройств, после установки они пытаются «спрятаться», например, скрывая или подменяя свои значки в меню главного экрана.

Самым активным представителем семейства оказался Android.HiddenAds.657.origin — на него пришлось более трети детектирований. Троян попал в поле зрения наших вирусных аналитиков еще в 2024 году и за это время выбился в лидеры. Он является одним из множества вариантов Android.HiddenAds.1994 — вредоносной программы, известной с 2021 года. Распространение получили и несколько ее новых версий — например, Android.HiddenAds.666.origin и Android.HiddenAds.673.origin. Нельзя исключать, что со временем они также могут подняться на верхние строчки, как это ранее случалось с другими модификациями Android.HiddenAds.1994.

В течение года пользователи вновь сталкивались с подсемейством Android.HiddenAds, Aegis, однако доля таких вредоносных программ от общего числа детектирований семейства заметно сократилась — с 17,37% до 3,11%. Эти трояны отличаются, в том числе, способностью запускаться автоматически после установки. Среди них самыми активными стали варианты Android.HiddenAds.Aegis.1 и Android.HiddenAds.Aegis.8.origin.

Вторым по распространенности вредоносным ПО оказались рекламные трояны Android.MobiDash, доля которых по сравнению с 2024 годом увеличилась с 5,38% до 15,64%. Среди них лидировал Android.MobiDash.7859. За ними расположились программы-подделки Android.FakeApp, которые используются в мошеннических целях и вместо обещанной функциональности загружают различные сайты. На них пришлось 10,94% детектирований. Это ниже показателя 2024 года, когда их доля составляла 18,28%. Такое снижение произошло, в том числе, за счет меньшей активности трояна Android.FakeApp.1600, однако он все еще остается самым распространенным представителем семейства. Его главной задачей является загрузка сайтов онлайн-казино.

Доля троянских программ семейства Android.Spy, реализующих различную шпионскую функциональность, сократилась с 11,52% до 3,09%. В то же время повысилась активность банковских троянов. Их доля от общего числа детектирований вредоносных приложений составила 6,94% против показателя 6,29% годом ранее.

В 2025 году с 5,49% до 6,01% увеличилось число детектирований программных упаковщиков, которые могут использовать, в том числе, и злоумышленники с целью защиты ВПО от обнаружения и анализа. Чаще всего на защищаемых устройствах выявлялись вредоносные программы с упаковщиком Android.Packed.57146.

Распространение получили различные вредоносные моды мессенджера WhatsApp. Среди них были модификации (Dr.Web детектирует их как Android.Click.1812), загружающие веб-сайты незаметно для жертв. Также наблюдалась возросшая активность многофункциональных троянов семейства Android.Triada, которые злоумышленники могут внедрять в прошивку Android-устройств. Их доля возросла с 2,74% до 7,48%.

Десять наиболее часто детектируемых вредоносных Android-приложений в 2025 году:

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.655.origin
Android.HiddenAds.4213
Android.HiddenAds.666.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57146: Детектирование вредоносных приложений, которые упакованы с помощью популярного коммерческого обфускатора кода.
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Нежелательное ПО

Наиболее распространенным нежелательным ПО в 2025 году вновь стали приложения Program.FakeMoney.11, на которые пришлось 51,96% детектирований. Они предлагают пользователям за вознаграждение выполнять те или иные задания и якобы в дальнейшем позволяют конвертировать награду в настоящие деньги. На самом деле никаких выплат в итоге не происходит. Вместе с Program.FakeMoney.11 распространение получили и другие аналогичные программы, например — Program.FakeMoney.14 и Program.FakeMoney.16, однако с ними пользователи сталкивались значительно реже.

На втором месте с показателем 10,37% расположились программы Program.FakeAntiVirus.1, которые имитируют работу антивирусов и обнаруживают несуществующие угрозы. Для «лечения» заражения они предлагают приобрести полную версию ПО.

Приложения Program.CloudInject.1, которые модифицируются в облачном сервисе CloudInject, с долей 6,41% стали третьими по распространенности. Их варианты, детектируемые как Program.CloudInject.5, с показателем 5,08% оказались рядом с ними на четвертой позиции. Изменения в такие программы вносятся непосредственно на удаленном сервере, а доступ к сервису предоставляет утилита Tool.CloudInject, которая является лишь оболочкой для работы с ним. При модификации к программам добавляются опасные системные разрешения и обфусцированный код. Кроме того, через сервис CloudInject моддеры способны дистанционно управлять модифицированными приложениями, например, заблокировать их и потребовать ввести код для дальнейшего использования.

В 2025 году наблюдался незначительный рост числа детектирований ряда программ, которые могут применяться для наблюдения за пользователями и контроля их активности. В руках злоумышленников такие инструменты превращаются в шпионское ПО. Так, доля приложения Program.TrackView.1.origin и его варианта Program.TrackView.2.origin увеличилась с 2,40% до 2,91% и с 0,21% до 0,97% соответственно. Доля Program.SecretVideoRecorder.1.origin возросла c 2,03% до 2,56%, а его модификации Program.SecretVideoRecorder.2.origin — с 0,90% до 1,02%. Показатель программы Program.SnoopPhone.1.origin увеличился с 0,31% до 1,01%.

Десять наиболее часто детектируемых нежелательных приложений в 2025 году:

Program.FakeMoney.11
Program.FakeMoney.14: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1
Program.CloudInject.5: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin
Program.TrackView.2.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Потенциально опасные программы

В 2025 году самым распространенным потенциально опасным ПО стали программы, модифицированные при помощи инструмента NP Manager. Это утилита для модификации приложений, которая содержит различные модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Злоумышленники часто применяют ее для защиты вредоносных приложений, чтобы затруднить их детектирование антивирусами. Доля таких программ по сравнению с 2024 годом возросла с 24,52% до 53,59%, и на них пришлось уже более половины детектирований потенциально опасного ПО. Чаще всего на защищаемых устройствах встречались варианты Tool.NPMod.3 (32,85%), Tool.NPMod.1 (12,61%), Tool.NPMod.1.origin (3,02%) и Tool.NPMod.4 (2,31%).

С 3,93% до 8,11% возросло количество детектирований Tool.Androlua — ряда фреймворков, созданных для разработки Android-приложений на языке программирования Lua. Они требуют множество системных разрешений, включая использование службы специальных возможностей Android. Созданные с их помощью программы построены на Lua-скриптах, которые зашифрованы и расшифровываются только непосредственно перед исполнением. Такие скрипты потенциально могут быть вредоносными. С 8,16% до 10,06% увеличилась доля приложений, модифицированных при помощи утилиты Tool.LuckyPatcher. Этот инструмент модифицирует установленные программы, загружая из интернета специально подготовленные скрипты.

В то же время доля утилит Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, снизилась с 33,10% до 10,55%. Самыми распространенными вариантами семейства в 2025 году стали Tool.SilentInstaller.14.origin (4,66%), Tool.SilentInstaller.6.origin (2,07%) и Tool.SilentInstaller.7.origin (1,88%). Кроме того, с 13,17% до 2,58% уменьшилась доля программ, защищенных упаковщиком Tool.Packer.1.origin.

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2025 году:

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin
Tool.NPMod.4: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы, в том числе для использования сервиса специальных возможностей ОС Android. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.LuckyPatcher.2.origin
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Она создает виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Рекламные приложения

Среди рекламного ПО наибольшее распространение в 2025 году получили сторонние модификации приложения WhatsApp, детектируемые как Adware.ModAd.1. В такие модификации внедрена функциональность по открытию ссылок при работе с мессенджером. С этих ссылок выполняется перенаправление на рекламируемые сайты. По сравнению с 2024 годом доля Adware.ModAd.1 от общего числа рекламных приложений, обнаруженных на защищаемых устройствах, снизилась с 47,45% до 26,90%.

Встраиваемые в Android-программы модули Adware.Adpush, которые демонстрируют рекламные уведомления, расположились на втором месте, за год увеличив активность с 14,76% до 26,19%. Третье место с показателем 8,88% заняли представители семейства Adware.Basement, доля которых по сравнению с годом ранее осталась практически неизменной. Такие программы могут показывать рекламу, которая ведет на вредоносные сайты.

Распространение также получили семейства рекламных приложений Adware.Airpush (число детектирований возросло с 4,35% до 5,14%), Adware.Fictus (рост с 3,29% до 6,21%), Adware.Youmi (рост с 1,62% до 2,91%) а также Adware.Leadbolt (рост с 2,26% до 2,41%) и Adware.Jiubang (рост с 1,70% до 2,38%).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2025 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.3.origin
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Jiubang.1: Нежелательное рекламное ПО для Android-устройств, которое при установке приложений демонстрирует баннер с рекомендуемыми к установке программами.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2025 году антивирусная лаборатория компании «Доктор Веб» обнаружила в каталоге Google Play более 180 вредоносных, нежелательных и рекламных программ, которые суммарно были установлены по меньшей мере 2 165 040 раз. Среди них были различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывали присутствие на зараженных устройствах и демонстрировали рекламу поверх интерфейса операционной системы и других приложений. Эти трояны распространялись под видом фоторедакторов, программ для фото- и видеосъемки и другого ПО.

Программы Time Shift Cam и Fusion Collage Editor были рекламными троянами Android.HiddenAds

Под видом официального ПО криптобиржи Dydx и блокчейн-платформ Raydium и Aerodrome Finance киберпреступники распространяли трояны Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, похищавших криптовалюту.

В программах Raydium и Dydx Exchange скрывалось троянское ПО для кражи криптовалюты

Эти вредоносные приложения предлагали пользователям ввести мнемоническую фразу якобы для подключения криптокошелька, однако на самом деле вводимые данные отправлялись злоумышленникам. Чтобы еще больше ввести потенциальных жертв в заблуждение, формы для ввода мнемонических фраз могли быть замаскированы под запросы от других криптоплатформ.

Android.CoinSteal.206 демонстрирует фишинговую форму якобы от имени криптобиржи PancakeSwap и запрашивает мнемоническую фразу для доступа к криптокошельку

В течение года наши специалисты выявили в Google Play более 80 вредоносных приложений семейства Android.Joker, подписывающих пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, программы для фотосъемки, системные утилиты, редакторы изображений и программы для работы с документами.

Примеры выявленных троянов Android.Joker: Android.Joker.2494 распространялся в виде мессенджера File Text Messages, а Android.Joker.2496 — под видом утилиты Useful Cleaner для оптимизации работы смартфона

Киберпреступники вновь распространяли всевозможные программы-подделки Android.FakeApp, которые применяются в различных мошеннических схемах. Их основной задачей является загрузка целевых веб-страниц. Часть этих троянов злоумышленники выдавали за ПО финансовой тематики. Такие программы загружали мошеннические сайты, якобы связанные с инвестициями и онлайн-заработком, а также фишинговые сайты. Другие программы-подделки Android.FakeApp распространялись под видом игр и при определенных условиях могли загружать сайты онлайн-казино и букмекеров. В общей сложности мы зафиксировали более 100 таких программ в Google Play.

Примеры приложений-подделок Android.FakeApp. Троян Android.FakeApp.1863, который скрывался в программе TPAO, был ориентирован на турецких пользователей и предлагал им управлять депозитами и доходами. А троян Android.FakeApp.1840 распространялся в виде игры Pino Bounce и мог загружать сайт онлайн-казино

Вирусные аналитики «Доктор Веб» также обнаружили новое нежелательное рекламное ПО Adware.Adpush.21912, которое скрывалось в программе Coin News Promax с информацией о криптовалютах. Adware.Adpush.21912 демонстрирует уведомления, при нажатии на которые в WebView загружается заданная C2-сервером ссылка.

Приложение Coin News Promax из Google Play являлось рекламным ПО Adware.Adpush.21912

Кроме того, наши специалисты выявили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи в игровой форме получали в нем виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.

Программа Zeus Jackpot Mania представляла собой нежелательное приложение Program.FakeMoney.16

Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат пользователи не получали.

Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2025 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,94%, что чуть выше значения 6,29% годом ранее. В течение первых трех месяцев активность банковских троянов оставалась примерно на одном уровне, однако уже в начале II квартала заметно возросла. Далее она начала постепенно снижаться, достигнув годового минимума в июле. С августа число детектирований вновь стало расти и уже в октябре достигло пика. В конце года наблюдалось очередное снижение.

В 2025 году злоумышленники по-прежнему использовали ряд популярных семейств банковских троянов в проводимых атаках. Среди наиболее активных были вредоносные программы Android.Banker.Mamont, Coper, Android.BankBot.Ermac и ряд других. Кроме того, были выявлены новые версии троянов NGate, которые используют технологию NFC для кражи денег. Эти вредоносные программы передают злоумышленникам данные с NFC-чипа зараженных устройств, позволяя мошенникам без дальнейшего вовлечения пользователей снимать деньги со счетов жертв в банкоматах или совершать покупки с использованием бесконтактной оплаты. Среди наиболее активных были такие модификации как Android.Banker.NGate.8, Android.Banker.NGate.17, Android.Banker.NGate.5.origin.

Продолжилось распространение Android.SpyMax — вредоносных приложений со шпионской функциональностью, основанных на ставшем общедоступным исходном коде RAT-трояна SpyNote. Киберпреступники используют их, в том числе, и в качестве банковских троянов. Вместе с тем активность Android.SpyMax по сравнению с 2024 годом снизилась. На долю этих вредоносных приложений пришлось 12,35% детектирований банковских троянов против показателя 32,04% годом ранее.

В 2025 году российские пользователи чаще всего сталкивались с различными банковскими троянами, которые по классификации компании «Доктор Веб» входят в обширное семейство Mamont (Android.Banker.790.origin, Android.Banker.Mamont.3.origin, Android.Banker.Mamont.28.origin). Оно включает разнообразные вредоносные приложения, которые вирусописатели продолжают активно модифицировать и развивать. Эти программы перехватывают СМС с одноразовыми кодами от кредитных организаций и похищают данные банковских карт и другую конфиденциальную информацию.

В течение года наши специалисты отмечали активность банковских троянов, нацеленных на жителей Узбекистана и сопредельных с ним государств, включая Армению, Азербайджан и Киргизию. Чаще всего на защищаемых устройствах детектировались Android.Banker.951.origin, Android.Banker.881.origin и Android.Banker.963.origin, крадущие проверочные СМС-коды от кредитных организаций. Киберпреступники постоянно модифицируют такие вредоносные приложения, чтобы усложнить их выявление. Турецких пользователей наиболее часто атаковали банковские трояны Android.BankBot.Coper.12.origin, Android.Banker.5685 и Android.Banker.864.origin, также способные похищать содержимое СМС-сообщений.

В то же время жители Ирана столкнулись с троянами Android.BankBot.1190.origin, Android.BankBot.1191.origin и их модификациями. Эти вредоносные программы крадут банковскую информацию из СМС-сообщений: находят в них данные о банковских картах, счетах жертвы, количестве доступных денег, выполненных транзакциях и т. д., после чего отправляют их злоумышленникам. Они также собирают информацию о контактах из телефонной книги и способны отправлять СМС по команде атакующих.

Жителей многих стран Юго-Восточной Азии и Азиатско-Тихоокеанского региона, в том числе Индонезии и Южной Кореи, атаковал троян Android.BankBot.Remo.1.origin. Эта вредоносная программа использует специальные возможности (Accessibility Services) для кражи данных из установленных на зараженных устройствах приложений банков и криптокошельков. Помимо трояна Remo, южнокорейские пользователи также сталкивались с троянами Android.BankBot.15140, Android.BankBot.Ermac.6.origin и GoldDigger (Android.BankBot.GoldDigger.9, Android.BankBot.GoldDigger.11).

Вредоносные программы GoldDigger применялись и против индонезийских и тайских пользователей. А банковский троян Android.BankBot.Gigabud.1.origin использовался против клиентов кредитных организаций Индонезии и Малайзии. В то же время злоумышленники продолжили применять троянов MoqHao при атаках на японскую аудиторию. Распространение получили такие модификации MoqHao как Android.Banker.672.origin, Android.Banker.5063, Android.Banker.740.origin и ряд других.

Одним из банковских троянов, нацеленных на жителей Индии, стал Android.Banker.6209. Троян имитирует внешний вид настоящих банковских приложений с целью кражи данных пользователей — их имен, номеров банковских карт и CVV-кодов безопасности. Кроме того, он использует зараженные устройства для скрытой добычи криптовалюты Monero. Распространение вновь получили банковские трояны RewardSteal, такие как Android.Banker.814.origin, Android.Banker.913.origin и Android.Banker.5132. Для кражи банковских данных они маскируются под ПО, якобы имеющее отношение к индийским кредитным организациям — например, ICICI, SBI, Axis и PM Kisan.

Бразильских владельцев Android-устройств чаще всего атаковали вредоносные программы Android.BankBot.1183.origin, а также ряд представителей семейства NGate — Android.Banker.NGate.8, Android.Banker.NGate.9 и Android.Banker.NGate.14.

В 2025 году вирусописатели продолжили использовать различные техники защиты банковских Android-троянов от анализа и детектирования. Например, распространение получили всевозможные методы обфускации и сокрытия кода, такие как DEX to C (конвертация исполняемого DEX-кода в код языка C), а также обфускация вредоносных приложений при помощи инструмента NP Manager.

Популярными остались техники манипуляции с форматом ZIP-архивов, которыми фактически являются APK-файлы Android-приложений. Среди них — манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK, а также использование некорректных данных о диске в записи ECDR и CD. Подробнее о них мы рассказывали в прошлом обзоре в разделе о банковских троянах. После таких манипуляций троянские программы остаются полностью работоспособными, но многие инструменты статического анализа воспринимают их как поврежденные и неспособны обработать корректно.

Вирусописатели стали активнее применять программы-дропперы для сокрытия основной полезной нагрузки, например, для обхода внутренней защиты каталога Google Play. Киберпреступники также используют ИИ-ассистентов при написании кода банковских троянов, что упрощает их разработку и ведет к появлению новых семейств. Кроме того, злоумышленники чаще используют Telegram-боты для управления банковскими троянами и эксфильтрации данных с зараженных устройств.

Перспективы и тенденции

В 2025 году мы наблюдали высокую активность рекламных троянов, которые остаются самыми распространенными угрозами для ОС Android. Широкое распространение вновь получили и различные программы-подделки, которые используются в мошеннических целях, в том числе — для фишинга и кражи денег. Кроме того, продолжился рост числа атак с использованием банковских троянов. Все эти вредоносные приложения являются источником нелегального дохода для киберпреступников, поэтому их популярность остается на высоком уровне. В следующем году они с высокой долей вероятности вновь станут одними из популярных инструментов заработка злоумышленников. При этом вирусописатели все чаще используют Telegram-боты для управления банковскими троянами. Эта тенденция, скорее всего, продолжится.

Появление вредоносной программы Android.Clipper.31, а также новых версий троянов Android.Vo1d и Android.Triada в прошивках смартфонов и TV-приставок говорит о сохраняющемся интересе злоумышленников в распространении вредоносного ПО способами, которые значительно усложняют его обнаружение. Весьма вероятно, что в новом году тенденция сохранится, и мы увидим новые случаи предустановки вредоносных приложений на смартфоны, ТВ-приставки и другие типы Android-устройств.

Следует также ожидать появления более сложных вредоносных программ, способных выполнять широкий спектр задач. Среди них могут быть очередные бэкдоры и различные трояны-шпионы. Кроме того, вирусописатели наверняка вновь будут использовать официальные каталоги программ, в том числе Google Play, для размещения в них вредоносного и нежелательного ПО.

Злоумышленники также продолжат внедрять различные способы защиты для создаваемых ими инструментов. Также они будут чаще использовать ИИ-помощников при написании кода, в результате чего стоит ожидать появления большего числа новых семейств.

Компания «Доктор Веб» следит за ландшафтом угроз в мобильном сегменте и оперативно реагирует на возникающие вызовы. Пользователям Android мы рекомендуем установить Dr.Web Security Space для мобильных устройств, чтобы защитить себя от вредоносных и других опасных программ.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

Скачать PDF

15 января 2026 года

В 2025 году одними из самых активных угроз стали трояны, предназначенные для показа рекламы. Пользователи также сталкивались с различными вредоносными скриптами и троянскими приложениями, которые запускают в инфицированной системе другое вредоносное ПО. В почтовом трафике чаще всего выявлялись троянские программы-загрузчики, бэкдоры, эксплойты, вредоносные скрипты и фишинговые документы.

Среди мобильных угроз наибольшее распространение получили рекламные трояны и программы-подделки, используемые в различных мошеннических схемах. Также отмечался рост активности банковских троянов. При этом вирусные аналитики «Доктор Веб» обнаружили десятки новых вредоносных, нежелательных и рекламных программ в каталоге Google Play.

По сравнению с 2024 годом сократилось количество обращений пользователей за расшифровкой файлов. В то же время в течение года наши интернет-аналитики фиксировали рост числа мошеннических сайтов, созданных для кражи учетных записей пользователей мессенджера Telegram. Кроме того, распространение вновь получили нежелательные сайты финансовой тематики.

В 2025 году антивирусная лаборатория «Доктор Веб» расследовала несколько таргетированных атак, одна из которых была совершена на российское машиностроительное предприятие. В ходе нее злоумышленники использовали ряд вредоносных приложений, с помощью которых пытались получить конфиденциальные данные с зараженных компьютеров. Наши специалисты установили, что к атаке была причастна хакерская группировка Scaly Wolf. Другой инцидент произошел с одним из российских государственных учреждений, которое подверглось нападению хакерской группы Cavalry Werewolf. Вирусные аналитики «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, а также изучили особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

В течение 2025 года компания «Доктор Веб» также сообщала о ряде других инцидентов информационной безопасности. В январе наша антивирусная лаборатория выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. А в апреле мы проинформировали о трояне, найденном в прошивке ряда моделей Android-смартфонов. С его помощью киберпреступники похищали криптовалюту. Кроме того, в апреле наши специалисты выявили Android-трояна, которого злоумышленники внедрили в одну из версий популярной картографической программы и использовали для слежки за российскими военнослужащими.

В июле эксперты «Доктор Веб» рассказали о новом семействе троянов, созданных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. В августе вирусные аналитики предупредили о распространении многофункционального бэкдора для мобильных устройств, который был нацелен на представителей российского бизнеса. Киберпреступники управляли им дистанционно, похищая с его помощью конфиденциальные данные и следя за жертвами.

В октябре мы рассказали о бэкдоре для Android-устройств, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В декабре на нашем сайте вышел материал о трояне, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами.

В 2025 году также отмечался рост популярности атак ClickFix, при которых злоумышленники применяют социальную инженерию, чтобы пользователи самостоятельно запустили вредоносный код на своих устройствах.

Главные тенденции года

Отмечалась высокая активность рекламных троянов
Произошли новые таргетированные атаки
Наблюдался рост популярности атак с применением метода ClickFix
Снизилось число инцидентов с троянскими программами-шифровальщиками
Увеличилось количество детектирований банковских троянов для Android
Были выявлены новые случаи заражения прошивок Android-устройств
В каталоге Google Play вновь распространялись различные вредоносные и нежелательные программы

Наиболее интересные события 2025 года

В январе 2025 года специалисты «Доктор Веб» выявили кампанию по добыче криптовалюты Monero с использованием вредоносного майнера SilentCryptoMiner. Его файлы были замаскированы под различное ПО, например программы для совершения видеозвонков. При заражении компьютеров они удаляли другие майнеры, которые могли быть ранее установлены в систему. В рамках этой кампании для распространения некоторых вредоносных компонентов злоумышленники применяли стеганографию — прием, позволяющий скрыть одни данные среди других (например, в изображениях). После скачивания специальным образом сформированных изображений соответствующие компоненты SilentCryptoMiner извлекались из них и запускались.

В апреле наши вирусные аналитики проинформировали о трояне Android.Clipper.31, обнаруженном в прошивке ряда бюджетных моделей Android-смартфонов. Злоумышленники встроили его в модифицированную версию мессенджера WhatsApp, который затем предустановили на устройства, скомпрометировав цепочку поставок некоторых производителей. Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат киберпреступникам. При этом троян скрывает подмену, и жертвы видят в таких сообщениях корректные адреса криптокошельков.

В этом же месяце эксперты «Доктор Веб» обнаружили Android-трояна Android.Spy.1292.origin, которого злоумышленники внедрили в одну из версий картографической программы Alpine Quest и использовали для слежки за российскими военнослужащими. Вредоносное приложение собирало конфиденциальную информацию и позволяло атакующим красть файлы с зараженных устройств.

В июле на сайте компании «Доктор Веб» вышел материал о троянских программах Trojan.Scavenger, предназначенных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. Эти вредоносные приложения запускались с использованием легитимного ПО, в том числе через эксплуатацию в нем уязвимостей класса DLL Search Order Hijacking.

В августе наши специалисты уведомили о распространении многофункционального бэкдора Android.Backdoor.916.origin, который был нацелен на представителей российских компаний. Вредоносное приложение под видом антивируса распространялось через личные сообщения в мессенджерах. Попадая на целевые устройства, Android.Backdoor.916.origin собирал конфиденциальные данные и позволял атакующим следить за жертвами.

Кроме того, в августе антивирусная лаборатория «Доктор Веб» выпустила исследование таргетированной атаки группировки Scaly Wolf на российское машиностроительное предприятие. Киберпреступники задействовали целый набор вредоносных инструментов, среди которых одним из основных стал модульный бэкдор Updatar. Он позволял атакующим собирать конфиденциальные данные с зараженных компьютеров.

В октябре эксперты «Доктор Веб» рассказали о бэкдоре Android.Backdoor.Baohuo.1.origin, встроенном в модифицированные злоумышленниками версии мессенджера Telegram X. Android.Backdoor.Baohuo.1.origin крадет логины и пароли от учетных записей Telegram, а также похищает ряд других конфиденциальных данных. Вредоносная программа позволяет злоумышленникам получить полный контроль над учетной записью пользователя и управлять мессенджером, выполняя в нем действия от имени жертвы. Например, атакующие могут незаметно вступать в Telegram-каналы и покидать их, а также скрывать новые авторизованные устройства в интерфейсе троянской модификации Telegram X.

В ноябре мы опубликовали исследование таргетированной атаки хакерской группировки Cavalry Werewolf на российское государственное учреждение. При анализе инцидента эксперты «Доктор Веб» обнаружили множество вредоносных инструментов киберпреступников, включая инструменты с открытым исходным кодом. Вирусные аналитики изучили особенности группировки и выяснили, что ее участники предпочитают использовать бэкдоры с функциональностью обратного шелла и часто применяют Telegram API для управления зараженными компьютерами. Кроме того, они начинают атаки с отправки фишинговых писем якобы от имени государственных структур и прикрепляют к таким сообщениям вредоносное ПО, замаскированное под различные официальные документы.

В декабре компания «Доктор Веб» опубликовала анализ вредоносного приложения Trojan.ChimeraWire, который искусственно увеличивает популярность сайтов, притворяясь для этого человеком. Троянское приложение ищет нужные сайты в поисковых системах Google и Bing, открывает их и выполняет клики на загруженных веб-страницах в соответствии с полученными от злоумышленников заданиями. Trojan.ChimeraWire устанавливается на компьютеры при помощи ряда вредоносных программ, которые эксплуатируют уязвимости класса DLL Search Order Hijacking.

В течение 2025 года наблюдался рост популярности атак с использованием метода ClickFix. Он заключается в том, что злоумышленники применяют социальную инженерию, обманом подталкивая потенциальных жертв к самостоятельному запуску вредоносного кода. Когда пользователи попадают на вредоносный или скомпрометированный сайт, тот сообщает им о якобы возникшей ошибке или о необходимости обновить браузер и предлагает «исправить» проблему. Для этого, в зависимости от варианта атаки, пользователей просят либо скопировать указанные на странице строки, либо просто нажать на соответствующую кнопку (например, «Обновить» или «Исправить»). В последнем случае нужное содержимое будет автоматически скопировано в буфер обмена. Затем их просят запустить командную строку или терминал PowerShell, вставить туда содержимое буфера обмена и нажать клавишу Enter. В результате жертвы самостоятельно исполняют вредоносный код, который запускает цепочку заражения компьютера. Подробнее об атаках ClickFix можно узнать в соответствующем материале на нашем сайте.

Вирусная обстановка

По данным статистики детектирований антивируса Dr.Web, в 2025 году общее число обнаруженных угроз возросло на 5,45% по сравнению с 2024 годом. Число уникальных угроз снизилось на 15,89%. Чаще всего пользователи сталкивались с различными вредоносными скриптами и рекламными троянами. Кроме того, распространение получили трояны, которые используются для запуска других вредоносных программ. Также пользователям вновь угрожали троянские приложения, которые созданы на скриптовом языке AutoIt и распространяются в составе другого вредоносного ПО для затруднения его обнаружения.

VBS.KeySender.6
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4242: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332: Детектирование вредоносных XML-скриптов, которые запускают трояна Trojan.AutoIt.289 и его компоненты.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.
JS.MalVpn.1: Вредоносный скрипт, который различные вредоносные программы используют для соединения с управляющими серверами.
Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.

В почтовом трафике в 2025 году чаще всего встречались троянские программы, которые скачивали и устанавливали другое вредоносное ПО. Злоумышленники также распространяли через электронные письма различные бэкдоры, эксплойты, фишинговые документы и вредоносные скрипты.

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Phishing.684
JS.Phishing.745: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.
BackDoor.AgentTeslaNET.20: Вредоносная программа-шпион, предназначенная для кражи конфиденциальной информации. Например, она собирает и передает злоумышленникам логины и пароли из множества приложений, таких как браузеры, мессенджеры, почтовые клиенты, базы данных и т. д. Она также крадет данные из буфера обмена, реализует функциональность кейлоггера и может создавать снимки экрана (скриншоты).
Win32.Expiro.153: Файловый вирус, заражающий исполняемые файлы Windows. Его основное предназначение заключается в хищении паролей от различных программ.
JS.DownLoader.1225: Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
Trojan.PackedNET.3223: Детектирование вредоносных программ, защищенных упаковщиком.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

По сравнению с 2024, в 2025 году в Службу технической поддержки «Доктор Веб» поступило на 35,98% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже.

Наиболее распространенные шифровальщики в 2025 году

Trojan.Encoder.35534 (23,22% обращений пользователей): Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.
Trojan.Encoder.35209 (3,33% обращений пользователей): Шифровальщик, основанный на исходном коде трояна-энкодера Conti. Шифрует файлы при помощи алгоритма ChaCha20. После ликвидации ряда управляющих серверов злоумышленников и раскрытия приватных RSA-ключей шифрования для некоторых модификаций этой вредоносной программы доступна расшифровка затронутых файлов.
Trojan.Encoder.35067 (2,50% обращений пользователей): Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.
Trojan.Encoder.41868 (2,31% обращений пользователей): Шифровальщик, артефакты в котором указывают на причастность к его созданию хакерской группировки C77L.
Trojan.Encoder.29750 (2,13% обращений пользователей): Троян-вымогатель, имеющий несколько версий. Его актуальные модификации шифруют файлы алгоритмом AES-256+RSA.

Сетевое мошенничество

В 2025 году интернет-аналитики компании «Доктор Веб» наблюдали рост числа фишинговых сайтов, созданных для кражи учетных записей мессенджера Telegram. Злоумышленники использовали различные схемы: поддельные страницы аутентификации и авторизации, поддельные сообщения от службы поддержки Telegram, предупреждавшие о якобы выявленных нарушениях при использовании мессенджера и необходимости выполнить «проверку» учетной записи, и т. д.

Пример фишингового сайта, сообщающего о необходимости выполнить проверку учетной записи Telegram в связи с неким нарушением условий использования сервиса

Подобные сайты создавались и для пользователей других сервисов, например игровых платформ, интернет-магазинов и т. д. Подделки могли выглядеть как настоящие интернет-ресурсы и предлагали войти в учетную запись. Если пользователи попадались на уловку, конфиденциальная информация оказывалась у злоумышленников.

Поддельный сайт сервиса Steam демонстрирует фишинговую форму для ввода логина и пароля

Пользователи снова сталкивались с различными вариантами мошеннических интернет-ресурсов, которые предлагали всевозможные подарки и бонусы, участие в неких «выгодных акциях». Распространение получили поддельные сайты российских маркетплейсов, где посетители якобы могли принять участие в розыгрыше призов. «Выигрыш» на них был запрограммирован, а для его «получения» от жертвы требовалась определенная оплата, например якобы в виде налога, затем — за доставку товара и его страховку. В других вариантах мошеннической схемы нужный товар якобы отсутствовал, но вместо него предлагался денежный эквивалент. Для «получения» денег пользователь также должен был совершить ряд платежей: в виде пошлины, страховки и т. п. Никакого приза жертва в итоге не получала.

Пример поддельного сайта маркетплейса, предлагающего принять участие в «розыгрыше призов»

Вариантами подобных схем были ориентированные на жителей Великобритании поддельные сайты транспортных компаний. Они предлагали принять участие в розыгрыше транспортных карт, якобы приуроченных к определенному событию и позволяющих бесплатно пользоваться услугами общественного транспорта. После «выигрыша» мошенники просили жертв предоставить персональные данные и оплатить небольшую «комиссию».

Мошеннический сайт якобы от имени транспортной компании предлагает принять участие в «розыгрыше карты»

Актуальными остались всевозможные мошеннические сайты финансовой тематики. Популярными среди злоумышленников снова были ресурсы, предлагавшие зарабатывать торговлей на рынке с использованием автоматизированных систем на базе неких уникальных алгоритмов и технологий искусственного интеллекта. Подобные сайты создаются с ориентиром на жителей многих стран. Чаще всего на них запрашиваются персональные данные для регистрации «заявки» или «учетной записи», после чего информация попадает в руки злоумышленников, которые используют ее по своему усмотрению. В дальнейшем они могут перепродать данные или же продолжат заманивать потенциальную жертву в поддельный инвестиционный сервис, требуя внести деньги на «торговый» счет.

Один из мошеннических сайтов, предлагавших доступ к «инвестиционной платформе» на базе технологий искусственного интеллекта, якобы имел отношение к корпорации Apple

Многие такие сайты построены на базе похожих шаблонов в виде поддельного чата с «виртуальным помощником» или «сотрудником» той или иной компании, якобы от имени которой мошенники обращаются к потенциальной жертве. Пользователем предлагается ответить на ряд вопросов, после чего указать персональные данные.

На одном из сайтов злоумышленники предлагали пользователям из Франции получить доступ к несуществующему автоматизированному торговому ПО TraderAI, который якобы позволит зарабатывать от 3 500€

Один из ресурсов рекламировал инвестиционный сервис, якобы построенный непосредственно на базе мессенджера Telegram. Сайт обещал доход 10 000€ в месяц от автоматической торговли акциями мировых компаний «прямо в телефонном браузере».

Сайт мошенников приглашает присоединиться к «платформе Telegram», которая якобы самостоятельно торгует акциями

Злоумышленники также предлагали потенциальным жертвам заработать при помощи «торговых ботов», якобы созданных при участии крупных компаний и сервисов, таких как Telegram, WhatsApp, TikTok и других.

Пример сайта, который приглашал воспользоваться несуществующим торговым ботом, якобы имеющим отношение к мессенджеру WhatsApp

В течение 2025 года наши интернет-аналитики выявляли новые мошеннические сайты предлагавшие инвестировать в нефтегазовый сектор пользователям многих стран, включая Россию, страны СНГ и Европы. На таких сайтах у потенциальных жертв в большинстве случаев также запрашивается персональная информация: имя, фамилия, номер мобильного телефона, адрес электронной почты и т. д.

Мошеннический сайт, ориентированный на граждан Киргизии, предлагает им «зарабатывать на нефти и газе», обещая крупный доход

Вновь появлялись мошеннические сайты, предлагавшие получить «государственную помощь» в виде выплат или компенсаций. Например, в российском сегменте интернета были распространены мошеннические ресурсы, якобы имеющие отношение к порталу «Госуслуги».

Пример мошеннического сайта, который якобы был связан с сервисом «Госуслуги» и обещал российским пользователям стабильные выплаты от государства и крупной нефтегазовой компании. Для «участия» в программе выплат у жертвы запрашивались персональные данные

Наши специалисты также отметили появление очередных поддельных сайтов образовательных проектов. Они предлагали пользователям пройти различные обучающие курсы, чтобы повысить свою финансовую грамотность, освоить ту или иную профессию т. д. Для «доступа» к обучению у потенциальных жертв, как и во многих других подобных схемах, также запрашивалась персональная информация.

Один из мошеннических сайтов предлагал освоить английский язык

Интернет-аналитики «Доктор Веб» выявляли новые мошеннические сайты по продаже театральных билетов. На таких ресурсах злоумышленники предлагают потенциальным жертвам приобрести билеты по выгодным ценам, однако после «оплаты» пользователи их не получают.

Пример мошеннического сайта, продававшего несуществующие театральные билеты

Кроме того, распространение получили и новые поддельные сайты частных кинотеатров. Как и в случае с билетами в театр, мошенники предлагают потенциальным жертвам купить билеты в кино, но те в итоге лишь отдают свои деньги злоумышленникам.

Поддельный сайт одного из частных кинотеатров

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, в 2025 году пользователи Android чаще всего сталкивались с рекламными троянами Android.MobiDash и Android.HiddenAds, а также программами-подделками Android.FakeApp, которые вместо заявленной функциональности могут загружать различные веб-сайты, в том числе мошеннические и вредоносные. Отмечался рост активности троянских приложений Android.Triada. Они представляют собой многофункциональные угрозы, которые злоумышленники встраивают в прошивку Android-устройств. Кроме того, наблюдался рост числа атак банковских троянов Android.Banker. В то же время активность банкеров Android.SpyMax наоборот снизилась.

В минувшем году вирусописатели продолжили использовать различные техники защиты вредоносного ПО для ОС Android. Одной из них был метод конвертации DEX-кода в C-код (известен как DCC или DEX to C).

Самыми распространенными нежелательными приложениями стали программы Program.FakeMoney. Они предлагают пользователям за виртуальные награды выполнять различные задания и обещают возможность конвертировать вознаграждение в настоящие деньги. Но самом деле в них такой возможности нет. Кроме того, на защищаемых устройствах часто детектировались приложения Program.FakeAntiVirus.1 и Program.CloudInject.1. Первые имитируют работу антивирусов и обнаруживают несуществующие угрозы, предлагая «вылечить» заражение, купив полную версию ПО. Вторые представляют собой приложения, которые были модифицированы через популярный облачный сервис. При модификации к ним добавляются опасные системные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Программы, которые были модифицированы при помощи утилиты NP Manager (детектируются как Tool.NPMod), стали самым распространенным потенциально опасным ПО. Утилита обфусцирует код модифицируемых приложений и позволяет обходить проверку их цифровой подписи. Наиболее активными рекламными программами в 2025 году были сторонние модификации WhatsApp (Adware.ModAd.1), которые автоматически открывают рекламные ссылки при работе с мессенджером.

В 2025 году были выявлены новые случаи заражения прошивок Android-устройств. Об одном из них наша компания уведомила в апреле. Злоумышленники предустановили вредоносное приложение Android.Clipper.31 в системную область нескольких бюджетных моделей смартфонов и с его помощью похищали криптовалюту пользователей. Еще одним атакующим удалось внедрить опасных троянов Android.Triada в прошивку других моделей Android-смартфонов. Кроме того, были зафиксированы очередные случаи заражения прошивок TV-приставок под управлением Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году.

В течение минувшего года антивирусная лаборатория «Доктор Веб» выявила ряд опасных вредоносных приложений. В апреле мы рассказали о трояне Android.Spy.1292.origin, который скрывался в модифицированной вирусописателями картографической программе Alpine Quest и атаковал российских военнослужащих. Android.Spy.1292.origin передавал злоумышленникам данные о номере мобильного телефона и учетных записях, собирал контакты из телефонной книги, геолокацию зараженного устройства и сведения о хранящихся на нем файлах. Он также мог похищать определенные файлы по команде атакующих. Тех в первую очередь интересовали конфиденциальные документы, которые передавались через мессенджеры, а также файл журнала локаций программы Alpine Quest.

В августе наши специалисты предупредили о бэкдоре Android.Backdoor.916.origin, которого под видом антивируса злоумышленники распространяли через личные сообщения в мессенджерах. Android.Backdoor.916.origin крадет конфиденциальную информацию и позволяет следить за пользователями. Основной целью этого бэкдора стали сотрудники российского бизнеса.

В октябре мы рассказали о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, которого наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Эта вредоносная программа также используется для кражи конфиденциальных данных, включая логины и пароли от Telegram, входящие СМС, переписку в мессенджере и данные из буфера обмена. При этом бэкдор позволяет злоумышленникам полностью управлять мессенджером и контролировать взломанную учетную запись Telegram жертвы. Для управления бэкдором киберпреступники использовали как C2-сервер, так и базу данных Redis, что ранее не встречалось в Android-угрозах. Android.Backdoor.Baohuo.1.origin преимущественно был нацелен на жителей Индонезии и Бразилии.

Более подробно о вирусной обстановке для мобильных устройств в 2025 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

В новом, 2026 году одной из наиболее распространенных угроз для пользователей, вероятно, останутся рекламные трояны, с помощью которых злоумышленники получают нелегальный доход. Стоит ожидать, что киберпреступники станут чаще использовать банковские троянские приложения, которые также позволяют обогащаться киберпреступникам.

Возможен дальнейший рост популярности различных инструментов и методик, помогающих скрывать вредоносную активность. Среди них можно отметить использование упаковщиков и обфускаторов, применение вредоносных программ-дропперов и многоступенчатых загрузчиков, а также использование стеганографии для сокрытия полезной нагрузки. Кроме того, при создании вредоносного ПО киберпреступники, в том числе с небольшим опытом в программировании, все чаще будут прибегать к помощи ИИ-ассистентов. В результате появятся новые семейства вредоносных программ, а количество угроз возрастет.

Под прицелом вновь окажутся государственные и корпоративные структуры, что выльется в очередные таргетированные атаки. Также вероятны новые случаи заражения прошивок Android-смартфонов, ТВ-приставок и других типов мобильных устройств, особенно в бюджетном сегменте. Сохранится активность интернет-мошенников.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

Скачать PDF

12 января 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами вновь стали рекламные трояны Android.MobiDash и Android.HiddenAds, демонстрирующие надоедливые объявления. При этом их активность снизилась: первые обнаруживались на защищаемых устройствах на 43,24% реже, а вторые — на 18,06%. За ними расположились трояны семейства Android.Siggen, которые включают вредоносные приложения, обладающие различной функциональностью. Они также детектировались несколько реже — на 27,47%.

В то же время отмечался заметный рост активности банковских троянов, с которыми пользователи сталкивались чаще на 65,52%. Этот рост произошел в большей степени за счет представителей семейства Android.Banker. Такие вредоносные программы перехватывают СМС с одноразовыми кодами для подтверждения банковских операций, а также могут имитировать внешний вид настоящего банковского ПО и демонстрировать фишинговые окна.

Среди нежелательного ПО наибольшее распространение получили Android-программы, модифицированные через облачный сервис CloudInject (антивирус Dr.Web детектирует их как Program.CloudInject). С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать. Кроме того, на устройствах часто встречались поддельные антивирусы Program.FakeAntiVirus, которые обнаруживают несуществующие угрозы и для их «лечения» требуют приобрести полную версию, а также Program.FakeMoney — приложения, якобы позволяющие зарабатывать на выполнении различных заданий.

Самым распространенным потенциально опасным ПО в IV квартале стали приложения Tool.NPMod, модифицированные при помощи утилиты NP Manager. Она обфусцирует код модов и добавляет в них специальный модуль, позволяющий обходить проверку цифровой подписи после модификации приложений. Среди рекламных программ лидерство сохранили представители семейства Adware.Adpush. Это специальные программные модули, которые разработчики встраивают в ПО для демонстрации рекламных уведомлений.

В октябре наши специалисты рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, который злоумышленники встроили в неофициальные модификации мессенджера Telegram X и распространяли как через вредоносные сайты, так и через сторонние каталоги Android-приложений. Вредоносная программа похищает логины и пароли от учетных записей Telegram, а также другие конфиденциальные данные. Кроме того, с ее помощью киберпреступники фактически способны управлять аккаунтом жертвы и незаметно выполнять в мессенджере различные действия от ее имени. Например — присоединяться к Telegram-каналам и выходить из них, скрывать новые авторизованные устройства, скрывать определенные сообщения и т. д. Android.Backdoor.Baohuo.1.origin управляется в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. В общей сложности бэкдор заразил порядка 58 000 устройств, среди которых около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и автомобилей с бортовыми компьютерами на базе Android.

За минувший квартал антивирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play новые вредоносные программы, среди которых были трояны Android.Joker, подписывающие жертв на платные услуги, и различные программы-подделки Android.FakeApp, применяемые в мошеннических схемах. В общей сложности их загрузили по меньшей мере 263 000 раз.

Главные тенденции IV квартала

Рекламные трояны остаются наиболее распространенными Android-угрозами
Рост числа атак банковских троянов
Распространение опасного бэкдора Android.Backdoor.Baohuo.1.origin, встроенного в модификации мессенджера Telegram X
Появление очередных вредоносных приложений в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57.origin: Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Bastion.1.origin: Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например онлайн-казино и букмекеров, сайты для взрослых.

Угрозы в Google Play

В течение IV квартала 2025 года вирусные аналитики компании «Доктор Веб» зафиксировали появление в каталоге Google Play более двух десятков вредоносных приложений Android.Joker, предназначенных для подписки пользователей на платные услуги. Злоумышленники замаскировали их под различное ПО: мессенджеры, утилиты для оптимизации работы системы, графические редакторы и программы для просмотра фильмов.

Примеры выявленных вредоносных программ Android.Joker. Android.Joker.2496 был замаскирован под инструмент Useful Cleaner для «очистки мусора» на телефоне, а одна из модификаций Android.Joker.2495 — под проигрыватель фильмов Reel Drama

Также наши специалисты обнаружили несколько новых программ-подделок из семейства Android.FakeApp. Как и ранее, некоторые из них распространились под видом финансовых приложений и загружали мошеннические сайты. Другие такие подделки выдавались за игры. При определенных условиях (например, если IP-адрес пользователя удовлетворял требованиям злоумышленников) они могли загружать сайты букмекерских контор и онлайн-казино.

Игра Chicken Road Fun являлась программой-подделкой Android.FakeApp.1910, и вместо того, чтобы предоставить ожидаемую пользователем функциональность, могла загрузить сайт онлайн-казино

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

Скачать PDF

12 января 2026 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2025 года общее число обнаруженных угроз увеличилось на 16,05% по сравнению с III кварталом. Число уникальных угроз при этом снизилось на 1,13%. Наибольшее распространение получили нежелательные рекламные приложения, вредоносные скрипты и различные вредоносные программы, в том числе загрузчики и рекламные трояны.

В почтовом трафике чаще всего детектировались троянские приложения, среди которых были загрузчики, похитители паролей и дропперы. Кроме того, через электронные письма распространялись эксплойты, бэкдоры и всевозможные вредоносные скрипты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.41868 и Trojan.Encoder.29750.

В октябре мы рассказали о бэкдоре для Android-устройств Android.Backdoor.Baohuo.1.origin, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В ноябре наша антивирусная лаборатория опубликовала исследование таргетированной атаки, совершенной хакерской группировкой Cavalry Werewolf на российское государственное учреждение. В ходе проведенной экспертизы специалисты «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, в том числе инструменты с открытым исходным кодом, которые киберпреступники применяют в своих кампаниях. Были также изучены особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

Уже в декабре на нашем сайте вышел материал об уникальном трояне Trojan.ChimeraWire, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами. Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных приложений, которые эксплуатируют уязвимости класса DLL Search Order Hijacking, а также используют антиотладочные приемы, чтобы избежать обнаружения.

В течение IV квартала интернет-аналитики «Доктор Веб» зафиксировали новые мошеннические сайты, которые сулили потенциальным жертвам быстрый и легкий заработок. Также были выявлены очередные фишинговые интернет-ресурсы и поддельные сайты маркетплейсов.

Наши специалисты обнаружили очередные вредоносные программы в каталоге Google Play. Среди них трояны Android.Joker, которые подписывают владельцев Android-устройств на платные услуги, а также вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. В то же время статистика детектирований Dr.Web Security Space для мобильных устройств показала рост активности банковских троянов для платформы Android.

Главные тенденции IV квартала

Увеличение числа угроз, детектируемых на защищаемых устройствах
Снижение числа уникальных угроз, использованных при атаках
Рост количества запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
Возросшая активность банковских троянов, нацеленных на владельцев Android-устройств
Распространение бэкдора Android.Backdoor.Baohuo.1.origin, взламывающего учетные записи Telegram пользователей Android
Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала 2025 года

Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4268: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379: Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

Наиболее распространенные угрозы в почтовом трафике IV квартала 2025 года

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Phishing.791: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.

Шифровальщики

В IV квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 1,15% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала 2025 года

Trojan.Encoder.35534 — 24,90% обращений пользователей
Trojan.Encoder.41868 — 4,21% обращений пользователей
Trojan.Encoder.29750 — 3,42% обращений пользователей
Trojan.Encoder.26996 — 2,68% обращений пользователей
Trojan.Encoder.30356 — 0,38% обращений пользователей

Сетевое мошенничество

В течение IV квартала 2025 года интернет-аналитики «Доктор Веб» отметили появление новых поддельных сайтов маркетплейсов. Мошенники якобы от имени торговых площадок предлагают потенциальным жертвам сыграть в игру типа «карусель» (аналог рулетки) с шансом получить приз. После нескольких попыток пользователю «везет», но для получения выигрыша от него якобы сначала требуется оплатить доставку, затем страховку, налог и т. д. В некоторых случаях жертве сообщают, что искомый товар отсутствует, и ей предлагают обменять товар на деньги. Однако для их получения необходима оплата «пошлины». Если пользователь соглашается, от него вновь требуют дополнительных платежей в виде страховки, активации некоего счета и т. п.

Пример поддельного сайта маркетплейса, предлагающего «розыгрыш призов»

В базу нерекомендуемых и вредоносных сайтов также были добавлены очередные интернет-ресурсы, на которых мошенники продают несуществующие театральные билеты. На таких сайтах предлагается посетить популярные постановки, в том числе по привлекательным ценам. Однако после оплаты жертвы не получают желаемые билеты и фактически отдают мошенникам деньги.

Один из мошеннических сайтов по продаже несуществующих театральных билетов

Также были обнаружены очередные ресурсы, которые имитируют сайты частных кинотеатров и предлагают приобрести билеты для просмотра фильмов. Никаких билетов после покупки на таких площадках жертвы в итоге не получают.

Поддельный сайт частного кинотеатра

Наши специалисты выявили ряд фишинговых ресурсов, среди которых были поддельные сайты сервиса Steam. С их помощью злоумышленники пытались получить данные учетных записей пользователей, предлагая тем указать логин и пароль для аутентификации.

Фишинговый сайт, который имитирует настоящий интернет-портал Steam и предлагает потенциальной жертве войти в свою учетную запись

Кроме того, мошенники вновь заманивали потенциальных жертв в несуществующие инвестиционные проекты. Один из выявленных сайтов предлагал русскоязычным пользователям в Америке вложить 250$ в проект под названием Federal Invest и «зарабатывать до 90 000 долларов за три месяца». Данный проект якобы был создан в том числе при участии Дональда Трампа.

Мошеннический сайт, предлагающий принять участие в «выгодном инвестиционном проекте»

Другой сайт сообщал о том, что узбекские пользователи имеют возможность получать от 15 00 000 узбекских сум уже в первый месяц после присоединения к рекламируемому проекту, якобы имеющему отношение к крупному холдингу.

Мошеннический сайт, обещающий жителям Узбекистана крупную прибыль от участия в «инвестиционном проекте»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами, несмотря на снижение активности, вновь оказались рекламные трояны Android.MobiDash и Android.HiddenAds. На третье место поднялись вредоносные приложения семейства Android.Siggen, которые обладают различной функциональностью. В течение минувших 3 месяцев возросла активность банковских троянов, при этом наибольший рост среди них показали представители семейства Android.Banker.

Наиболее распространенным нежелательным ПО стали программы Program.CloudInject, модифицированные через облачный сервис CloudInject. Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений Tool.NPMod, модифицированных при помощи инструмента NP Manager. Самыми распространенными рекламными программами оказались модули Adware.Adpush, которые разработчики встраивают в Android-программы.

В октябре компания «Доктор Веб» опубликовала сведения об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, внедренном злоумышленниками в модификации мессенджера Telegram X. Вредоносная программа похищает конфиденциальную информацию и позволяет управлять учетной записью жертвы, а также непосредственно контролировать мессенджер, меняя логику его работы.

В течение IV квартала наши вирусные аналитики обнаружили в каталоге Google Play очередные угрозы, среди которых были трояны Android.Joker, которые подписывают пользователей на платные услуги, а также используемые в мошеннических целях вредоносные приложения Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале

Рекламные трояны остались самыми распространенными угрозами для Android-устройств
Возросла активность банковских троянов Android.Banker
В сторонних модификациях мессенджера Telegram X был обнаружен опасный бэкдор Android.Backdoor.Baohuo.1.origin
В каталоге Google Play появились новые вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2025 года читайте в нашем обзоре.

Новогодний интерактивный квест от «Доктор Веб» уже стартовал!

Thu, 25 Dec 2025 13:19:03 GMT

Мы с радостью объявляем о запуске традиционного Новогоднего Адвента от «Доктор Веб».

Последняя неделя декабря всегда наполнена суетой и хлопотами. Все успеть поможет интерактивное приключение в городе «Доктор Веб».

Исследуйте карту, посещайте локации и находите полезные призы: от бесплатных лицензий до эксклюзивных скидок. Принять участие в новогоднем квесте может любой желающий. Ознакомьтесь с условиями акции на странице-карте нашего города и отправляйтесь в путешествие по его улицам.

Успехов в поисках!
Отправиться в путешествие

Обновлены сертифицированные дистрибутивы продуктов линейки Dr.Web Enterprise Security Suite в рамках сертификата ФСТЭК России № 3509

Mon, 22 Dec 2025 14:43:36 GMT

Компания «Доктор Веб» сообщает о выпуске обновлений для сертифицированных дистрибутивов программных продуктов комплекса Dr.Web Enterprise Security Suite. Нами была пройдена процедура инспекционного контроля по сертификату соответствия ФСТЭК России № 3509, сам сертификат соответствия остается действующим на ранее установленных условиях. Обновленные дистрибутивы и эксплуатационная документация, включая формуляр, уже доступны для загрузки в Мастере скачиваний.

Инспекционный контроль подтвердил соответствие линейки сертифицированных продуктов Dr.Web Enterprise Security Suite требованиям нормативных правовых актов Российской Федерации в области защиты информации.

Напоминаем, что сертифицированные ФСТЭК России продукты Dr.Web предназначены для использования в организациях с повышенными требованиями к уровню информационной безопасности и соответствуют требованиям регуляторов в части применения средств антивирусной защиты.

Поставки лицензий на сертифицированные продукты Dr.Web сопровождаются полным комплектом сертификационных материалов.

Обновлено лицензионное соглашение к продукту Dr.Web FixIt!

Mon, 15 Dec 2025 15:18:12 GMT

Мы обновили лицензионное соглашение к продукту Dr.Web FixIt!. С документом можно ознакомиться по ссылке https://license.drweb.ru/agreement/.

Dr.Web FixIt! необходим для детального анализа безопасности рабочих станций и серверов под управлением ОС Windows, и устранения выявленных вирусных угроз и потенциальных уязвимостей. Его ключевое преимущество в том, что он может выявлять новейшее вредоносное ПО и программы, используемые для целевых атак, которые не определяются другими инструментами кибербезопасности.

В первую очередь Dr.Web FixIt! предназначен для специалистов, которые проводят мониторинг безопасности компьютерной инфраструктуры и анализируют киберинциденты. Тем не менее, даже при отсутствии в компании специализированной SOC-команды, решение способно как диагностировать угрозу на рабочей станции и/или сервере, так и произвести лечение после обнаружения.

В случае необходимости специалисты «Доктор Веб» помогут проанализировать информацию, полученную с помощью Dr.Web FixIt!. Для этого необходимо приобрести сертификат на экспертное сопровождение задачи.

Dr.Web FixIt! находится в едином реестре российских программ для ЭВМ и БД. Приобрести решение можно у партнеров «Доктор Веб».

Крупное обновление сервера централизованного управления для Dr.Web Enterprise Security Suite и Dr.Web Industrial

Fri, 12 Dec 2025 11:13:26 GMT

Компания «Доктор Веб» выпускает масштабное обновление для сервера в составе Dr.Web Enterprise Security Suite и Dr.Web Industrial 13.0.1.202511120. Оно будет доступно для загрузки с 15 декабря 2025 года. Ключевое изменение — расширение возможностей компонента «Контроль приложений», что поможет существенно усилить защиту пользователей.

В пакет обновлений мы добавили новые возможности и улучшения. В частности, для пользователей линейки продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial был расширен список критериев функционального анализа:

В категории «Запуск приложений» появились запреты на запуск дочерних процессов офисными программами и почтовыми клиентами. Это снижает риск заражения через вредоносные документы и письма, не мешая обычной работе пользователей.
В категории «Запуск скриптовых интерпретаторов» добавлены новые правила, позволяющие блокировать запуск сценариев из офисных приложений и почтовых клиентов, а также ограничивать выполнение скриптов AutoIt, а также Java и Python. Такие ограничения защищают от злоупотребления интерпретаторами, которые часто используются при кибератаках, а также при выполнении нежелательных автоматизаций.
В категорию «Загрузка драйверов» включен запрет на установку драйверов без WHQL подписи, что помогает предотвратить использование неподписанных модулей и загрузку потенциально опасного кода в ядро системы.

Обновленный набор правил дает администраторам средств защиты более гибкие инструменты для предотвращения вредоносной активности и повышения устойчивости инфраструктуры к современным угрозам.
Также мы избавились от ряда выявленных ранее проблем. Среди них:

исправлена ошибка, которая могла возникнуть при обновлении ПО Сервера Dr.Web под ОС Windows в условиях ограниченных вычислительных ресурсов;
исправлена ошибка, из-за которой при выборе настройки «Обновлять только базы» в разделе Центра управления «Ограничения обновлений» не обновлялся продукт репозитория «Базы контент-фильтров для UNIX»;
исправлена логика обновления кеша ответов DNS-сервера.

Подробный перечень исправлений вы сможете прочитать в этом документе.

Беллерофонту такое и не снилось. Троян ChimeraWire накручивает популярность сайтов, искусно притворяясь человеком

Mon, 08 Dec 2025 07:00:00 GMT

Скачать PDF

8 декабря 2025 года

Введение

В ходе анализа одной из партнерских программ специалисты компании «Доктор Веб» обнаружили уникальное ВПО с функциональностью кликера, получившее наименование Trojan.ChimeraWire. Оно работает на компьютерах под управлением ОС Windows и основано на проектах с открытым исходным кодом zlsgo и Rod для автоматизированного управления веб-сайтами и веб-приложениями.

Trojan.ChimeraWire позволяет злоумышленникам имитировать действия пользователей и накручивать поведенческий фактор веб-сайтов, искусственно поднимая их рейтинг в выдаче поисковых систем. Для этого вредоносная программа выполняет поиск нужных интернет-ресурсов в системах Google и Bing, после чего открывает их. Она также имитирует действия пользователей, самостоятельно нажимая на ссылки на загруженных сайтах. Троян совершает все вредоносные действия через браузер Google Chrome, который он скачивает с определенного ресурса и запускает в скрытом режиме отладки по протоколу WebSocket.

Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных программ-загрузчиков. Они используют различные техники повышения привилегий на основе эксплуатации уязвимостей класса DLL Search Order Hijacking, а также антиотладочные приемы с целью избежать обнаружения. Наша антивирусная лаборатория отследила как минимум 2 цепочки заражения с их участием. В одной из них центральное место занимает вредоносный скрипт Python.Downloader.208, а в другой — вредоносная программа Trojan.DownLoader48.61444, которая по принципу работы схожа с Python.Downloader.208 и фактически выступает его альтернативой.

В данном исследовании мы рассмотрим особенности Trojan.ChimeraWire и вредоносных программ, которые доставляют его на устройства пользователей.

Первая цепочка заражения

Схема, иллюстрирующая первую цепочку заражения

Первая цепочка начинается с трояна Trojan.DownLoader48.54600. Он проверяет, не работает ли в искусственной среде, и завершает работу, если обнаруживает признаки виртуальной машины или режима отладки. Если таких признаков нет, троян скачивает с C2-сервера ZIP-архив python3.zip. В нем находится вредоносный Python-скрипт Python.Downloader.208, а также необходимые для его работы вспомогательные файлы — в частности, вредоносная библиотека ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 распаковывает архив и запускает скрипт. Тот является второй ступенью заражения и представляет собой загрузчик, который скачивает с C2-сервера следующую стадию.

Поведение Python.Downloader.208 зависит от того, какими правами он обладает при запуске. Если скрипт запущен без прав администратора, он пытается их получить. Для этого извлеченный вместе с ним Trojan.Starter.8377 копируется в каталог %LOCALAPPDATA%\Microsoft\WindowsApps. Кроме того, создается скрипт runs.vbs, который в дальнейшем будет использован для повторного запуска Python.Downloader.208.

Далее Python.Downloader.208 запускает системное приложение %SystemRoot%\SysWOW64\iscsicpl.exe. Из-за наличия в нем уязвимости класса DLL Search Order Hijacking оно автоматически загружает троянскую библиотеку ISCSIEXE.dll, имя которой совпадает с именем легитимного компонента ОС Windows.

В свою очередь, Trojan.Starter.8377 запускает VBS-скрипт runs.vbs, и тот повторно исполняет Python.Downloader.208 — уже с правами администратора.

При запуске с необходимыми привилегиями Python.Downloader.208 скачивает с C2-сервера защищенный паролем архив onedrive.zip. В нем находится следующая стадия заражения — вредоносная программа Trojan.DownLoader48.54318 в виде библиотеки с именем UpdateRingSettings.dll — и необходимые для ее работы вспомогательные файлы (например, легитимное приложение OneDrivePatcher.exe из ОС Windows с действительной цифровой подписью, относящееся к ПО OneDrive).

После распаковки архива Python.Downloader.208 создает задачу в системном планировщике на запуск программы OneDrivePatcher.exe при старте системы. Далее он запускает это приложение. Из-за наличия в нем уязвимости DLL Search Order Hijacking оно автоматически загружает вредоносную библиотеку UpdateRingSettings.dll, имя которой совпадает с именем компонента ПО OneDrive.

Получив управление, Trojan.DownLoader48.54318 проверяет, не работает ли он в искусственной среде. При обнаружении одного из признаков работы в виртуальной машине или в режиме отладки он прекращает работу.

Если такие признаки не обнаруживаются, троянская библиотека пытается скачать с C2-сервера полезную нагрузку, а также ключи шифрования для ее расшифровки.

Расшифрованная полезная нагрузка представляет собой ZLIB-контейнер, внутри которого находится шеллкод и исполняемый файл. После расшифровки контейнера Trojan.DownLoader48.54318 пытается распаковать его. Если это не удается, то троян самоудаляется, а сам процесс завершает работу. В случае успеха управление передается шеллкоду, задача которого — разжать идущий вместе с ним исполняемый файл. Данный файл является последней стадией заражения — целевым трояном Trojan.ChimeraWire.

Вторая цепочка заражения

Вторая цепочка начинается с вредоносной программы Trojan.DownLoader48.61444. При запуске она проверяет наличие прав администратора и при их отсутствии пытается их получить. Троян использует технику Masquerade PEB для обхода системы защиты, маскируясь под легитимный процесс explorer.exe.

Затем он вносит патч в копию системной библиотеки %SystemRoot%\System32\ATL.dll. Для этого Trojan.DownLoader48.61444 считывает ее содержимое, добавляет в нее расшифрованный байт-код и путь до своего файла, после чего сохраняет модифицированную версию в виде файла dropper в той же директории, где он расположен. Далее троян инициализирует объекты COM-модели оболочки Windows для сервиса %SystemRoot%\System32\wbem и измененной библиотеки. Если инициализация проходит успешно, Trojan.DownLoader48.61444 пытается получить права администратора через использование COM-интерфейса CMSTPLUA, эксплуатируя уязвимость, характерную для некоторых старых COM-интерфейсов.

В случае успеха модифицированная библиотека dropper копируется в каталог %SystemRoot%\System32\wbem в виде файла ATL.dll. После этого Trojan.DownLoader48.61444 запускает системную оснастку управления WMI WmiMgmt.msc. В результате происходит эксплуатация уязвимости DLL Search Order Hijacking в системном приложении mmc.exe, которое автоматически загружает библиотеку %SystemRoot%\System32\wbem\ATL.dll с патчем. Она, в свою очередь, повторно запускает Trojan.DownLoader48.61444, но уже с правами администратора.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

При запуске от имени администратора Trojan.DownLoader48.61444 исполняет несколько PowerShell-скриптов для скачивания полезной нагрузки с C2-сервера. Одним из загружаемых объектов является ZIP-архив one.zip. В нем находятся файлы, аналогичные файлам из архива onedrive.zip из первой цепочки (в частности, легитимная программа OneDrivePatcher.exe и вредоносная библиотека UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 распаковывает архив и в системном планировщике создает задачу на автозапуск OneDrivePatcher.exe при загрузке системы. Троян также непосредственно запускает это приложение. Так же, как и в первой цепочке, при запуске в OneDrivePatcher.exe происходит эксплуатация уязвимости DLL Search Order Hijacking и автоматическая загрузка троянской библиотеки UpdateRingSettings.dll. Далее цепочка заражения повторяет первый сценарий.

При этом Trojan.DownLoader48.61444 скачивает и второй ZIP-архив: two.zip. В нем находится вредоносный скрипт Python.Downloader.208 (update.py), а также файлы, необходимые для его запуска. Среди них — Guardian.exe — переименованный консольный интерпретатор языка Python pythonw.exe.

После распаковки архива Trojan.DownLoader48.61444 создает в системном планировщике задачу на автозапуск Guardian.exe при загрузке системы. Кроме того, он непосредственно исполняет через это приложение вредоносный скрипт Python.Downloader.208.

Частично дублируя первую цепочку заражения, злоумышленники, по всей видимости, стремились повысить вероятность успешной загрузки Trojan.ChimeraWire в целевые системы.

Схема работы Trojan.DownLoader48.61444 с правами администратора

Trojan.ChimeraWire

Trojan.ChimeraWire получил свое имя на основе сочетания слов «chimera» (в переводе с англ. «химера» — мифическое существо с частями тел нескольких животных) и «wire» (в переводе с англ. «провод»). Слово «chimera» описывает гибридную природу применяемых злоумышленниками методик: использование троянов-загрузчиков, написанных на разных языках, а также антиотладочные техники и эскалация привилегий в процессе заражения. Кроме того, оно отражает то, что троян представляет собой комбинацию различных фреймворков, плагинов и легального ПО, через которое осуществляется скрытое управление трафиком. Отсюда вытекает второе слово «wire»: оно отсылает к невидимой и вредоносной работе трояна с сетью.

Попадая на целевой компьютер, Trojan.ChimeraWire скачивает со стороннего сайта ZIP-архив chrome-win.zip с браузером Google Chrome для ОС Windows. Отметим, что на этом ресурсе также хранятся архивы со сборками Google Chrome и для других систем, таких как Linux и macOS — в том числе для различных аппаратных платформ.

Сайт с различными сборками браузера Google Chrome, откуда троян загружает необходимый архив

После скачивания браузера Trojan.ChimeraWire пытается незаметно установить в него расширения NopeCHA и Buster, предназначенные для автоматизированного распознавания капчи (CAPTCHA). Данные расширения будут в дальнейшем использоваться трояном в процессе его работы.

Далее он запускает браузер в режиме отладки без видимого окна, что позволяет выполнять вредоносную деятельность, не привлекая внимания пользователя. После этого происходит подключение к выбранному автоматически порту отладки по протоколу WebSocket.

Вслед за этим троян переходит к получению заданий. Он отправляет запрос на C2-сервер и получает в ответ base64-строку, в которой скрыта зашифрованная алгоритмом AES-GCM конфигурация в формате JSON.

Пример конфигурации, которую трояну передает C2-сервер

В ней находятся задания и связанные с ними параметры:

целевая поисковая система (поддерживаются системы Google и Bing);
ключевые фразы для поиска сайтов в заданной поисковой системе и их последующего открытия;
максимальное количество последовательных переходов по веб-страницам;
случайные распределения для выполнения автоматических кликов на веб-страницах;
время ожидания загрузки страниц;
целевые домены.

Для дополнительной имитации деятельности реального человека и обхода систем, отслеживающих постоянную активность, в конфигурации также предусмотрены параметры, отвечающие за паузы между сессиями работы.

Имитация кликов мышью пользователем

Trojan.ChimeraWire способен выполнять клики следующих видов:

для навигации по поисковой выдаче;
для открытия найденных релевантных ссылок в новых фоновых вкладках.

Вначале Trojan.ChimeraWire через нужную поисковую систему выполняет поиск сайтов по доменам и ключевым фразам, указанным в конфигурации. Далее он открывает полученные в поисковой выдаче сайты и находит на них все HTML-элементы, которые определяют гиперссылки. Троян помещает их в массив данных и перемешивает его, чтобы объекты в нем располагались в последовательности, отличной от последовательности на веб-странице. Это делается для обхода антибот-защиты сайтов, которая может отслеживать порядок нажатий.

Затем Trojan.ChimeraWire проверяет, работоспособны ли найденные ссылки и совпадают ли строки в них с заданным шаблоном из конфигурации, после чего подсчитывает общее количество совпадений. Дальнейшие действия трояна зависят от получившегося числа.

Если на странице было выявлено достаточное количество подходящих ссылок, Trojan.ChimeraWire сканирует страницу и сортирует найденные ссылки по релевантности (наиболее соответствующие ключевым словам ссылки идут первыми). После этого выполняется клик по одной или нескольким подходящим ссылкам.

Если же совпадений с заданным шаблоном недостаточно или их нет вовсе, вредоносная программа использует алгоритм с вероятностной моделью поведения, который максимально имитирует действия настоящего пользователя. На основе параметров из конфигурации при помощи взвешенного случайного распределения Trojan.ChimeraWire определяет количество ссылок, по которым необходимо перейти. Например, распределение ["1:90", "2:10"] означает, что Trojan.ChimeraWire кликнет 1 ссылку с вероятностью 90%, и 2 ссылки — с вероятностью 20%. Таким образом, с большой долей вероятности вредоносная программа должна перейти по одной ссылке. Троян случайным образом выбирает ссылку из составленного ранее массива и выполняет клик.

После каждого перехода по ссылке из поисковой выдачи и выполнения кликов на загружаемой странице троян, в зависимости от задачи, возвращается на предыдущую вкладку или переходит к следующей. Алгоритм действий повторяется до тех пор, пока не будет исчерпан лимит по кликам для целевых веб-сайтов.

Ниже представлены примеры сайтов, параметры для взаимодействия с которыми поступали трояну в заданиях от C2-сервера:

Подробные технические описания трояна ChimeraWire и вредоносных программ, участвующих в его загрузке, находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.ChimeraWire
Подробнее о Trojan.DownLoader48.54600
Подробнее о Trojan.Starter.8377
Подробнее о Python.Downloader.208
Подробнее о Trojan.DownLoader48.54318
Подробнее о Trojan.DownLoader48.61444

Заключение

В настоящее время вредоносная деятельность Trojan.ChimeraWire фактически сводится к выполнению относительно простых задач кликера по накрутке популярности веб-сайтов. Вместе с тем, функциональные возможности лежащих в его основе утилит позволяют трояну решать более широкий спектр задач — в том числе совершать автоматизированные действия под видом активности настоящих пользователей. Так, с его помощью злоумышленники могут заполнять веб-формы — например, на сайтах, проводящих опросы в рекламных целях. Кроме того, они могут использовать его для считывания содержимого веб-страниц и создания их скриншотов — как с целью кибершпионажа, так и для автоматического сбора информации для наполнения различных баз данных (например, с почтовыми адресами, номерами телефонов и т. п.).

Таким образом, в будущем возможно появление новых версий Trojan.ChimeraWire, где эти и другие функции будут реализованы в полной мере. Специалисты компании «Доктор Веб» продолжают следить за развитием этого трояна.

MITRE ATT&CK®

Мы проанализировали Trojan.ChimeraWire по фреймворку MITRE ATT&CK®, который представляет собой матрицу с описанием тактик и техник киберпреступников, атакующих информационные системы. В результате были выявлены следующие ключевые техники:

Этап	Техника
Выполнение	Выполнение с участием пользователя (T1204) Вредоносный файл (T1204.002) Вредоносная библиотека (T1204.005) PowerShell (T1059.001) Командная оболочка Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Планировщик заданий Windows (T1053.005)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) Запланированная задача / задание (T1053)
Повышение привилегий	Перехват потока исполнения: перехват поиска DLL (T1574.001) Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	Зашифрованный / закодированный файл (T1027.013) Уклонение от отладки (T1622) Скрытое окно (T1564.003) Исключения для файла или пути (T1564.012) Деобфускация / декодирование файлов или данных (T1140) Перехват потока исполнения: перехват поиска DLL (T1574.001)
Организация управления	Двусторонняя связь (T1102.002) Веб-протоколы (T1071.001)

Индикаторы компрометации

Черная пятница: скидка 40% на комплексную защиту Dr.Web

Wed, 26 Nov 2025 03:34:15 GMT

С 26 ноября по 3 декабря 2025 года вы можете приобрести антивирусную защиту для компьютеров и мобильных устройств со скидкой 40%.

Сезон распродаж — время не только выгодных покупок, но и активности киберпреступников. В этот период растет число фишинговых атак, вредоносных приложений и попыток кражи платежных данных.
Решения Dr.Web помогут вам оставаться в безопасности!

Акция распространяется на:

Dr.Web Security Space — защита персональных компьютеров

блокирует вредоносные программы и шпионское ПО
защищает онлайн‑платежи и конфиденциальные данные
фильтрует фишинговые письма и предупреждает о мошеннических сайтах
не замедляет работу устройств

Dr.Web Security Space для мобильных устройств — защита мобильных устройств, планшетов, Smart TV и игровых консолей

непрерывно защищает от всех типов вредоносных программ
блокирует нежелательные звонки и СМС-спам
обеспечивает безопасность персональных данных, банковских операций и онлайн-покупок

Срок проведения акции: 26 ноября — 3 декабря 2025 года