«Доктор Веб»: обзор вирусной активности за 2025 год

15 января 2026 года

В 2025 году одними из самых активных угроз стали трояны, предназначенные для показа рекламы. Пользователи также сталкивались с различными вредоносными скриптами и троянскими приложениями, которые запускают в инфицированной системе другое вредоносное ПО. В почтовом трафике чаще всего выявлялись троянские программы-загрузчики, бэкдоры, эксплойты, вредоносные скрипты и фишинговые документы.

Среди мобильных угроз наибольшее распространение получили рекламные трояны и программы-подделки, используемые в различных мошеннических схемах. Также отмечался рост активности банковских троянов. При этом вирусные аналитики «Доктор Веб» обнаружили десятки новых вредоносных, нежелательных и рекламных программ в каталоге Google Play.

По сравнению с 2024 годом сократилось количество обращений пользователей за расшифровкой файлов. В то же время в течение года наши интернет-аналитики фиксировали рост числа мошеннических сайтов, созданных для кражи учетных записей пользователей мессенджера Telegram. Кроме того, распространение вновь получили нежелательные сайты финансовой тематики.

В 2025 году антивирусная лаборатория «Доктор Веб» расследовала несколько таргетированных атак, одна из которых была совершена на российское машиностроительное предприятие. В ходе нее злоумышленники использовали ряд вредоносных приложений, с помощью которых пытались получить конфиденциальные данные с зараженных компьютеров. Наши специалисты установили, что к атаке была причастна хакерская группировка Scaly Wolf. Другой инцидент произошел с одним из российских государственных учреждений, которое подверглось нападению хакерской группы Cavalry Werewolf. Вирусные аналитики «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, а также изучили особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

В течение 2025 года компания «Доктор Веб» также сообщала о ряде других инцидентов информационной безопасности. В январе наша антивирусная лаборатория выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. А в апреле мы проинформировали о трояне, найденном в прошивке ряда моделей Android-смартфонов. С его помощью киберпреступники похищали криптовалюту. Кроме того, в апреле наши специалисты выявили Android-трояна, которого злоумышленники внедрили в одну из версий популярной картографической программы и использовали для слежки за российскими военнослужащими.

В июле эксперты «Доктор Веб» рассказали о новом семействе троянов, созданных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. В августе вирусные аналитики предупредили о распространении многофункционального бэкдора для мобильных устройств, который был нацелен на представителей российского бизнеса. Киберпреступники управляли им дистанционно, похищая с его помощью конфиденциальные данные и следя за жертвами.

В октябре мы рассказали о бэкдоре для Android-устройств, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В декабре на нашем сайте вышел материал о трояне, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами.

В 2025 году также отмечался рост популярности атак ClickFix, при которых злоумышленники применяют социальную инженерию, чтобы пользователи самостоятельно запустили вредоносный код на своих устройствах.

Наиболее интересные события 2025 года

В январе 2025 года специалисты «Доктор Веб» выявили кампанию по добыче криптовалюты Monero с использованием вредоносного майнера SilentCryptoMiner. Его файлы были замаскированы под различное ПО, например программы для совершения видеозвонков. При заражении компьютеров они удаляли другие майнеры, которые могли быть ранее установлены в систему. В рамках этой кампании для распространения некоторых вредоносных компонентов злоумышленники применяли стеганографию — прием, позволяющий скрыть одни данные среди других (например, в изображениях). После скачивания специальным образом сформированных изображений соответствующие компоненты SilentCryptoMiner извлекались из них и запускались.

В апреле наши вирусные аналитики проинформировали о трояне Android.Clipper.31, обнаруженном в прошивке ряда бюджетных моделей Android-смартфонов. Злоумышленники встроили его в модифицированную версию мессенджера WhatsApp, который затем предустановили на устройства, скомпрометировав цепочку поставок некоторых производителей. Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат киберпреступникам. При этом троян скрывает подмену, и жертвы видят в таких сообщениях корректные адреса криптокошельков.

В этом же месяце эксперты «Доктор Веб» обнаружили Android-трояна Android.Spy.1292.origin, которого злоумышленники внедрили в одну из версий картографической программы Alpine Quest и использовали для слежки за российскими военнослужащими. Вредоносное приложение собирало конфиденциальную информацию и позволяло атакующим красть файлы с зараженных устройств.

В июле на сайте компании «Доктор Веб» вышел материал о троянских программах Trojan.Scavenger, предназначенных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. Эти вредоносные приложения запускались с использованием легитимного ПО, в том числе через эксплуатацию в нем уязвимостей класса DLL Search Order Hijacking.

В августе наши специалисты уведомили о распространении многофункционального бэкдора Android.Backdoor.916.origin, который был нацелен на представителей российских компаний. Вредоносное приложение под видом антивируса распространялось через личные сообщения в мессенджерах. Попадая на целевые устройства, Android.Backdoor.916.origin собирал конфиденциальные данные и позволял атакующим следить за жертвами.

Кроме того, в августе антивирусная лаборатория «Доктор Веб» выпустила исследование таргетированной атаки группировки Scaly Wolf на российское машиностроительное предприятие. Киберпреступники задействовали целый набор вредоносных инструментов, среди которых одним из основных стал модульный бэкдор Updatar. Он позволял атакующим собирать конфиденциальные данные с зараженных компьютеров.

В октябре эксперты «Доктор Веб» рассказали о бэкдоре Android.Backdoor.Baohuo.1.origin, встроенном в модифицированные злоумышленниками версии мессенджера Telegram X. Android.Backdoor.Baohuo.1.origin крадет логины и пароли от учетных записей Telegram, а также похищает ряд других конфиденциальных данных. Вредоносная программа позволяет злоумышленникам получить полный контроль над учетной записью пользователя и управлять мессенджером, выполняя в нем действия от имени жертвы. Например, атакующие могут незаметно вступать в Telegram-каналы и покидать их, а также скрывать новые авторизованные устройства в интерфейсе троянской модификации Telegram X.

В ноябре мы опубликовали исследование таргетированной атаки хакерской группировки Cavalry Werewolf на российское государственное учреждение. При анализе инцидента эксперты «Доктор Веб» обнаружили множество вредоносных инструментов киберпреступников, включая инструменты с открытым исходным кодом. Вирусные аналитики изучили особенности группировки и выяснили, что ее участники предпочитают использовать бэкдоры с функциональностью обратного шелла и часто применяют Telegram API для управления зараженными компьютерами. Кроме того, они начинают атаки с отправки фишинговых писем якобы от имени государственных структур и прикрепляют к таким сообщениям вредоносное ПО, замаскированное под различные официальные документы.

В декабре компания «Доктор Веб» опубликовала анализ вредоносного приложения Trojan.ChimeraWire, который искусственно увеличивает популярность сайтов, притворяясь для этого человеком. Троянское приложение ищет нужные сайты в поисковых системах Google и Bing, открывает их и выполняет клики на загруженных веб-страницах в соответствии с полученными от злоумышленников заданиями. Trojan.ChimeraWire устанавливается на компьютеры при помощи ряда вредоносных программ, которые эксплуатируют уязвимости класса DLL Search Order Hijacking.

В течение 2025 года наблюдался рост популярности атак с использованием метода ClickFix. Он заключается в том, что злоумышленники применяют социальную инженерию, обманом подталкивая потенциальных жертв к самостоятельному запуску вредоносного кода. Когда пользователи попадают на вредоносный или скомпрометированный сайт, тот сообщает им о якобы возникшей ошибке или о необходимости обновить браузер и предлагает «исправить» проблему. Для этого, в зависимости от варианта атаки, пользователей просят либо скопировать указанные на странице строки, либо просто нажать на соответствующую кнопку (например, «Обновить» или «Исправить»). В последнем случае нужное содержимое будет автоматически скопировано в буфер обмена. Затем их просят запустить командную строку или терминал PowerShell, вставить туда содержимое буфера обмена и нажать клавишу Enter. В результате жертвы самостоятельно исполняют вредоносный код, который запускает цепочку заражения компьютера. Подробнее об атаках ClickFix можно узнать в соответствующем материале на нашем сайте.

Вирусная обстановка

По данным статистики детектирований антивируса Dr.Web, в 2025 году общее число обнаруженных угроз возросло на 5,45% по сравнению с 2024 годом. Число уникальных угроз снизилось на 15,89%. Чаще всего пользователи сталкивались с различными вредоносными скриптами и рекламными троянами. Кроме того, распространение получили трояны, которые используются для запуска других вредоносных программ. Также пользователям вновь угрожали троянские приложения, которые созданы на скриптовом языке AutoIt и распространяются в составе другого вредоносного ПО для затруднения его обнаружения.

VBS.KeySender.6

VBS.KeySender.7

Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.

Trojan.BPlug.4242

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Trojan.Starter.8319

Trojan.Starter.8326

Trojan.Starter.8332

Детектирование вредоносных XML-скриптов, которые запускают трояна Trojan.AutoIt.289 и его компоненты.

JS.Siggen5.44590

Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Trojan.Siggen30.53926

Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.

JS.MalVpn.1

Вредоносный скрипт, который различные вредоносные программы используют для соединения с управляющими серверами.

Trojan.Siggen31.34463

Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.

В почтовом трафике в 2025 году чаще всего встречались троянские программы, которые скачивали и устанавливали другое вредоносное ПО. Злоумышленники также распространяли через электронные письма различные бэкдоры, эксплойты, фишинговые документы и вредоносные скрипты.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

JS.Phishing.684

JS.Phishing.745

Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.

BackDoor.AgentTeslaNET.20

Вредоносная программа-шпион, предназначенная для кражи конфиденциальной информации. Например, она собирает и передает злоумышленникам логины и пароли из множества приложений, таких как браузеры, мессенджеры, почтовые клиенты, базы данных и т. д. Она также крадет данные из буфера обмена, реализует функциональность кейлоггера и может создавать снимки экрана (скриншоты).

Win32.Expiro.153

Файловый вирус, заражающий исполняемые файлы Windows. Его основное предназначение заключается в хищении паролей от различных программ.

JS.DownLoader.1225

Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.

Trojan.PackedNET.3223

Детектирование вредоносных программ, защищенных упаковщиком.

Trojan.AutoIt.1413

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

По сравнению с 2024, в 2025 году в Службу технической поддержки «Доктор Веб» поступило на 35,98% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже.

Наиболее распространенные шифровальщики в 2025 году

Trojan.Encoder.35534 (23,22% обращений пользователей)

Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.

Trojan.Encoder.35209 (3,33% обращений пользователей)

Шифровальщик, основанный на исходном коде трояна-энкодера Conti. Шифрует файлы при помощи алгоритма ChaCha20. После ликвидации ряда управляющих серверов злоумышленников и раскрытия приватных RSA-ключей шифрования для некоторых модификаций этой вредоносной программы доступна расшифровка затронутых файлов.

Trojan.Encoder.35067 (2,50% обращений пользователей)

Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.

Trojan.Encoder.41868 (2,31% обращений пользователей)

Шифровальщик, артефакты в котором указывают на причастность к его созданию хакерской группировки C77L.

Trojan.Encoder.29750 (2,13% обращений пользователей)

Троян-вымогатель, имеющий несколько версий. Его актуальные модификации шифруют файлы алгоритмом AES-256+RSA.

Сетевое мошенничество

В 2025 году интернет-аналитики компании «Доктор Веб» наблюдали рост числа фишинговых сайтов, созданных для кражи учетных записей мессенджера Telegram. Злоумышленники использовали различные схемы: поддельные страницы аутентификации и авторизации, поддельные сообщения от службы поддержки Telegram, предупреждавшие о якобы выявленных нарушениях при использовании мессенджера и необходимости выполнить «проверку» учетной записи, и т. д.

Пример фишингового сайта, сообщающего о необходимости выполнить проверку учетной записи Telegram в связи с неким нарушением условий использования сервиса

Подобные сайты создавались и для пользователей других сервисов, например игровых платформ, интернет-магазинов и т. д. Подделки могли выглядеть как настоящие интернет-ресурсы и предлагали войти в учетную запись. Если пользователи попадались на уловку, конфиденциальная информация оказывалась у злоумышленников.

Поддельный сайт сервиса Steam демонстрирует фишинговую форму для ввода логина и пароля

Пользователи снова сталкивались с различными вариантами мошеннических интернет-ресурсов, которые предлагали всевозможные подарки и бонусы, участие в неких «выгодных акциях». Распространение получили поддельные сайты российских маркетплейсов, где посетители якобы могли принять участие в розыгрыше призов. «Выигрыш» на них был запрограммирован, а для его «получения» от жертвы требовалась определенная оплата, например якобы в виде налога, затем — за доставку товара и его страховку. В других вариантах мошеннической схемы нужный товар якобы отсутствовал, но вместо него предлагался денежный эквивалент. Для «получения» денег пользователь также должен был совершить ряд платежей: в виде пошлины, страховки и т. п. Никакого приза жертва в итоге не получала.

Пример поддельного сайта маркетплейса, предлагающего принять участие в «розыгрыше призов»

Вариантами подобных схем были ориентированные на жителей Великобритании поддельные сайты транспортных компаний. Они предлагали принять участие в розыгрыше транспортных карт, якобы приуроченных к определенному событию и позволяющих бесплатно пользоваться услугами общественного транспорта. После «выигрыша» мошенники просили жертв предоставить персональные данные и оплатить небольшую «комиссию».

Мошеннический сайт якобы от имени транспортной компании предлагает принять участие в «розыгрыше карты»

Актуальными остались всевозможные мошеннические сайты финансовой тематики. Популярными среди злоумышленников снова были ресурсы, предлагавшие зарабатывать торговлей на рынке с использованием автоматизированных систем на базе неких уникальных алгоритмов и технологий искусственного интеллекта. Подобные сайты создаются с ориентиром на жителей многих стран. Чаще всего на них запрашиваются персональные данные для регистрации «заявки» или «учетной записи», после чего информация попадает в руки злоумышленников, которые используют ее по своему усмотрению. В дальнейшем они могут перепродать данные или же продолжат заманивать потенциальную жертву в поддельный инвестиционный сервис, требуя внести деньги на «торговый» счет.

Один из мошеннических сайтов, предлагавших доступ к «инвестиционной платформе» на базе технологий искусственного интеллекта, якобы имел отношение к корпорации Apple

Многие такие сайты построены на базе похожих шаблонов в виде поддельного чата с «виртуальным помощником» или «сотрудником» той или иной компании, якобы от имени которой мошенники обращаются к потенциальной жертве. Пользователем предлагается ответить на ряд вопросов, после чего указать персональные данные.

На одном из сайтов злоумышленники предлагали пользователям из Франции получить доступ к несуществующему автоматизированному торговому ПО TraderAI, который якобы позволит зарабатывать от 3 500€

Один из ресурсов рекламировал инвестиционный сервис, якобы построенный непосредственно на базе мессенджера Telegram. Сайт обещал доход 10 000€ в месяц от автоматической торговли акциями мировых компаний «прямо в телефонном браузере».

Сайт мошенников приглашает присоединиться к «платформе Telegram», которая якобы самостоятельно торгует акциями

Злоумышленники также предлагали потенциальным жертвам заработать при помощи «торговых ботов», якобы созданных при участии крупных компаний и сервисов, таких как Telegram, WhatsApp, TikTok и других.

Пример сайта, который приглашал воспользоваться несуществующим торговым ботом, якобы имеющим отношение к мессенджеру WhatsApp

В течение 2025 года наши интернет-аналитики выявляли новые мошеннические сайты предлагавшие инвестировать в нефтегазовый сектор пользователям многих стран, включая Россию, страны СНГ и Европы. На таких сайтах у потенциальных жертв в большинстве случаев также запрашивается персональная информация: имя, фамилия, номер мобильного телефона, адрес электронной почты и т. д.

Мошеннический сайт, ориентированный на граждан Киргизии, предлагает им «зарабатывать на нефти и газе», обещая крупный доход

Вновь появлялись мошеннические сайты, предлагавшие получить «государственную помощь» в виде выплат или компенсаций. Например, в российском сегменте интернета были распространены мошеннические ресурсы, якобы имеющие отношение к порталу «Госуслуги».

Пример мошеннического сайта, который якобы был связан с сервисом «Госуслуги» и обещал российским пользователям стабильные выплаты от государства и крупной нефтегазовой компании. Для «участия» в программе выплат у жертвы запрашивались персональные данные

Наши специалисты также отметили появление очередных поддельных сайтов образовательных проектов. Они предлагали пользователям пройти различные обучающие курсы, чтобы повысить свою финансовую грамотность, освоить ту или иную профессию т. д. Для «доступа» к обучению у потенциальных жертв, как и во многих других подобных схемах, также запрашивалась персональная информация.

Один из мошеннических сайтов предлагал освоить английский язык

Интернет-аналитики «Доктор Веб» выявляли новые мошеннические сайты по продаже театральных билетов. На таких ресурсах злоумышленники предлагают потенциальным жертвам приобрести билеты по выгодным ценам, однако после «оплаты» пользователи их не получают.

Пример мошеннического сайта, продававшего несуществующие театральные билеты

Кроме того, распространение получили и новые поддельные сайты частных кинотеатров. Как и в случае с билетами в театр, мошенники предлагают потенциальным жертвам купить билеты в кино, но те в итоге лишь отдают свои деньги злоумышленникам.

Поддельный сайт одного из частных кинотеатров

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, в 2025 году пользователи Android чаще всего сталкивались с рекламными троянами Android.MobiDash и Android.HiddenAds, а также программами-подделками Android.FakeApp, которые вместо заявленной функциональности могут загружать различные веб-сайты, в том числе мошеннические и вредоносные. Отмечался рост активности троянских приложений Android.Triada. Они представляют собой многофункциональные угрозы, которые злоумышленники встраивают в прошивку Android-устройств. Кроме того, наблюдался рост числа атак банковских троянов Android.Banker. В то же время активность банкеров Android.SpyMax наоборот снизилась.

В минувшем году вирусописатели продолжили использовать различные техники защиты вредоносного ПО для ОС Android. Одной из них был метод конвертации DEX-кода в C-код (известен как DCC или DEX to C).

Самыми распространенными нежелательными приложениями стали программы Program.FakeMoney. Они предлагают пользователям за виртуальные награды выполнять различные задания и обещают возможность конвертировать вознаграждение в настоящие деньги. Но самом деле в них такой возможности нет. Кроме того, на защищаемых устройствах часто детектировались приложения Program.FakeAntiVirus.1 и Program.CloudInject.1. Первые имитируют работу антивирусов и обнаруживают несуществующие угрозы, предлагая «вылечить» заражение, купив полную версию ПО. Вторые представляют собой приложения, которые были модифицированы через популярный облачный сервис. При модификации к ним добавляются опасные системные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Программы, которые были модифицированы при помощи утилиты NP Manager (детектируются как Tool.NPMod), стали самым распространенным потенциально опасным ПО. Утилита обфусцирует код модифицируемых приложений и позволяет обходить проверку их цифровой подписи. Наиболее активными рекламными программами в 2025 году были сторонние модификации WhatsApp (Adware.ModAd.1), которые автоматически открывают рекламные ссылки при работе с мессенджером.

В 2025 году были выявлены новые случаи заражения прошивок Android-устройств. Об одном из них наша компания уведомила в апреле. Злоумышленники предустановили вредоносное приложение Android.Clipper.31 в системную область нескольких бюджетных моделей смартфонов и с его помощью похищали криптовалюту пользователей. Еще одним атакующим удалось внедрить опасных троянов Android.Triada в прошивку других моделей Android-смартфонов. Кроме того, были зафиксированы очередные случаи заражения прошивок TV-приставок под управлением Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году.

В течение минувшего года антивирусная лаборатория «Доктор Веб» выявила ряд опасных вредоносных приложений. В апреле мы рассказали о трояне Android.Spy.1292.origin, который скрывался в модифицированной вирусописателями картографической программе Alpine Quest и атаковал российских военнослужащих. Android.Spy.1292.origin передавал злоумышленникам данные о номере мобильного телефона и учетных записях, собирал контакты из телефонной книги, геолокацию зараженного устройства и сведения о хранящихся на нем файлах. Он также мог похищать определенные файлы по команде атакующих. Тех в первую очередь интересовали конфиденциальные документы, которые передавались через мессенджеры, а также файл журнала локаций программы Alpine Quest.

В августе наши специалисты предупредили о бэкдоре Android.Backdoor.916.origin, которого под видом антивируса злоумышленники распространяли через личные сообщения в мессенджерах. Android.Backdoor.916.origin крадет конфиденциальную информацию и позволяет следить за пользователями. Основной целью этого бэкдора стали сотрудники российского бизнеса.

В октябре мы рассказали о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, которого наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Эта вредоносная программа также используется для кражи конфиденциальных данных, включая логины и пароли от Telegram, входящие СМС, переписку в мессенджере и данные из буфера обмена. При этом бэкдор позволяет злоумышленникам полностью управлять мессенджером и контролировать взломанную учетную запись Telegram жертвы. Для управления бэкдором киберпреступники использовали как C2-сервер, так и базу данных Redis, что ранее не встречалось в Android-угрозах. Android.Backdoor.Baohuo.1.origin преимущественно был нацелен на жителей Индонезии и Бразилии.

Более подробно о вирусной обстановке для мобильных устройств в 2025 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

В новом, 2026 году одной из наиболее распространенных угроз для пользователей, вероятно, останутся рекламные трояны, с помощью которых злоумышленники получают нелегальный доход. Стоит ожидать, что киберпреступники станут чаще использовать банковские троянские приложения, которые также позволяют обогащаться киберпреступникам.

Возможен дальнейший рост популярности различных инструментов и методик, помогающих скрывать вредоносную активность. Среди них можно отметить использование упаковщиков и обфускаторов, применение вредоносных программ-дропперов и многоступенчатых загрузчиков, а также использование стеганографии для сокрытия полезной нагрузки. Кроме того, при создании вредоносного ПО киберпреступники, в том числе с небольшим опытом в программировании, все чаще будут прибегать к помощи ИИ-ассистентов. В результате появятся новые семейства вредоносных программ, а количество угроз возрастет.

Под прицелом вновь окажутся государственные и корпоративные структуры, что выльется в очередные таргетированные атаки. Также вероятны новые случаи заражения прошивок Android-смартфонов, ТВ-приставок и других типов мобильных устройств, особенно в бюджетном сегменте. Сохранится активность интернет-мошенников.