Doctor Web: Rückblick und Analyse von Bedrohungen im dritten Quartal 2025

Monatsberichte | Hot news | Alle News | Viren-News

1. Oktober 2025

Im dritten Quartal 2025 zeigte die Analyse der Statistiken von Dr.Web einen 4,23%igen Rückgang der Gesamtzahl erkannter Bedrohungen im Vergleich zum zweiten Quartal. Die Zahl der einzigartigen Bedrohungen stieg um 2,17%. Am häufigsten wurden Nutzer mit unerwünschten Werbeanwendungen, Adware-Trojanern und bösartigen Skripten konfrontiert. Im E-Mail-Verkehr herrschten bösartige Skripte, Backdoor-Programme und verschiedene Trojaner (Downloader, Dropper, Stealer etc.) vor.

Unter den Verschlüsselungstrojanern gehören die Encoder Trojan.Encoder.35534, Trojan.Encoder.35209 und Trojan.Encoder.35067 zu den meistverbreiteten Bedrohungen.

Im Juli berichteten die Experten von Doctor Web über die Familie Trojan.Scavenger – Trojaner, die zum Diebstahl von Kryptowährungen und Passwörtern verwendet werden. Sie wurden als Mods, Cheats und Patches für Computerspiele verbreitet und mithilfe legitimer Anwendungen gestartet, die unter anderem die Sicherheitslücke DLL Search Order Hijacking ausnutzen.

Im August berichteten unsere Virenanalysten über die Verbreitung des mehrfunktionalen Backdoor-Programms für mobile Geräte Android.Backdoor.916.origin. Die Cyberangriffe zielten hauptsächlich auf russische Unternehmen ab. Das Programm wurde remote gesteuert und ermöglichte es Cyberkriminellen, digitale Aktivitäten potenzieller Opfer zu überwachen und vertrauliche Informationen zu stehlen.

Außerdem veröffentlichte das Virenlabor von Doctor Web eine Untersuchung des gezielten Angriffs auf ein russisches Maschinenbauunternehmen durch das Hackerteam „Scaly Wolf“. Die Cyberkriminellen verwendeten eine Reihe bösartiger Tools, unter anderem das modulare Backdoor-Programm „Updatar“, mit dessen Hilfe sie vertrauliche Informationen von infizierten Computern stahlen.

Im dritten Quartal erkannten unsere Internetanalysten neue gefälschte Websites von Telegram sowie mehrere betrügerische Finanz- und Investitionswebsites. Außerdem stellten unsere Spezialisten die Verbreitung zahlreicher neuer bösartiger und unerwünschter Apps auf Google Play fest, darunter Trojaner der Familie Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, und gefälschte Apps der Familie Android.FakeApp.

Haupttrends im dritten Quartal

  • Rückgang der Anzahl von auf geschützten Geräten erkannten Bedrohungen
  • Anstieg der Anzahl einzigartiger Bedrohungen
  • Neue gefälschte Telegram-Websites und betrügerische Finanzwebsites
  • Verbreitung der bösartigen Apps Trojan.Scavenger, die zum Diebstahl von Kryptowährungen und Passwörtern verwendet werden
  • Verwendung des Backdoor-Programms Android.Backdoor.916.origin zur Cyberspionage und zum Diebstahl vertraulicher Informationen
  • Adware-Trojaner der Familie Android.MobiDash sind die meistverbreitete Bedrohung für Android
  • Rückgang der Verbreitung von Trojanern der Familie Android.HiddenAds
  • Zahlreiche neue Bedrohungen auf Google Play

Statistiken von Doctor Web

#drweb

Meistverbreitete Bedrohungen im dritten Quartal 2025:

VBS.KeySender.7
Bösartiges Skript, das in einer Endlosschleife nach Fenstern mit dem Text mode extensions, разработчика und розробника sucht und die Betätigung der Escape-Taste imitiert, um das Fenster zu schließen.
Adware.Downware.20091
Adware, die als intermediäre Software zur Installation unlizenzierter Software dient.
Trojan.Siggen31.34463
In Go geschriebener Trojaner, der Miner und Adware in das Zielsystem lädt. Stellt eine DLL-Datei dar, die sich unter %appdata%\utorrent\lib.dll befindet. Nutzt die DLL Search Order Hijacking-Sicherheitslücke im Torrent-Client „uTorrent“ aus.
Adware.Ubar.20
Torrent-Client, der unerwünschte Software auf Geräten installiert.
JS.Siggen5.44590
In die öffentliche JavaScript-Bibliothek es5-ext-main integrierter Schadcode. Zeigt eine bestimmte Meldung an, wenn das Paket auf einem Server mit der Zeitzone einer der Städte in Russland installiert ist.

Malware im E-Mail-Verkehr

#drweb
W97M.DownLoader.2938
Downloader-Trojaner, der Sicherheitslücken in Microsoft Office-Dateien ausnutzt und weitere bösartige Programme auf infizierte Computer herunterladen kann.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Exploit, der Schwachstellen von Microsoft Office ausnutzt und es ermöglicht, beliebigen Code auszuführen.
JS.Phishing.745
Bösartiges, in JavaScript geschriebenes Skript.
JS.Muldrop.371
Bösartiges in JavaScript geschriebenes Skript, das die Payload im infizierten System installiert.

Encoder

Im Vergleich zum zweiten Quartal 2025 stieg die Anzahl der Anfragen zur Dateientschlüsselung um 3,02%.

Statistik der Anfragen zur Entschlüsselung von durch Ransomware verschlüsselten Dateien:

#drweb

Meistverbreitete Encoder im dritten Quartal 2025:

  • Trojan.Encoder.35534 — 26,99% der Anfragen
  • Trojan.Encoder.35209 — 3,07% der Anfragen
  • Trojan.Encoder.35067 — 2,76% der Anfragen
  • Trojan.Encoder.41542 — 2,15% der Anfragen
  • Trojan.Encoder.29750 — 1,84% der Anfragen

Betrug im Internet

Im dritten Quartal stellten die Internetanalysten von Doctor Web die Verbreitung neuer gefälschter Websites von Telegram fest. Sie wurden von Cyberkriminellen unter anderem genutzt, um sich Zugriff auf Benutzerkonten zu verschaffen.

#drweb

Zudem wurden betrügerische Finanzwebsites verbreitet. Auf einer solchen Website wurde für „Apple Trade AI – Investitionsplattform der Zukunft“ geworben, die angeblich von Apple entwickelt wurde. Potenziellen Opfern wurde ein monatliches Einkommen in Höhe von über 4.000 US-Dollar versprochen. Um das Geld „verdienen“ zu können, musste der Nutzer einen Account erstellen und seine persönlichen Informationen angeben.

#drweb

Auf anderen betrügerischen Ressourcen wurden Nutzer aufgefordert, an einem „neuen Investitionsprogramm von Meta“ teilzunehmen, um „eine stabile Einkommensquelle zu schaffen“. Um auf die Plattform zugreifen zu können, mussten Nutzer an einer Umfrage teilnehmen und einen Account erstellen.

#drweb

Unsere Experten erkannten neue gefälschte Investitionsplattformen, die es angeblich ermöglichen, mithilfe von Bots via WhatsApp zu verdienen.

#drweb

Für den Zugriff auf diese Dienste musste der Nutzer seine persönlichen Informationen angeben:

#drweb

Einige betrügerische Websites zielten auf Nutzer aus bestimmten Ländern ab und versprachen z.B. „Zugriff auf geschlossene Investitionsplattformen“ und „exklusive Investitionen über den Dienst INSIDER X“. Nutzer wurden aufgefordert, einen „Zugriffsantrag zu erstellen“ und ihre persönlichen Informationen anzugeben.

#drweb

Nutzern aus Russland wurde der Zugang zu einer Investitionsplattform versprochen, die angeblich von großen Erdöl- und Gasunternehmen entwickelt wurde:

#drweb

Einige betrügerische Websites wurden als Dienste bekannter Banken ausgegeben. Nutzern wurde weisgemacht, sie könnten „50.000 Rubel wöchentlich“ verdienen:

#drweb

Mit ähnlichen Websites wurden Nutzer aus Kirgisistan konfrontiert. Sie wurden aufgefordert, an einem „staatlichen Investitionsprogramm teilzunehmen“ und in das „größte Unternehmen des Landes“ zu investieren:

#drweb

Nutzern aus Georgien wurde ein hohes Einkommen auf einer Investitionsplattform versprochen, die angeblich einer bekannten Bank gehört:

#drweb

Nutzern aus Kasachstan wurde weisgemacht, sie könnten über 60.000 Tenge monatlich an Investitionen verdienen:

#drweb

Nutzer aus der Türkei wurden im Namen eines angeblichen Erdöl- und Gasunternehmens aufgefordert, bis zu 9.000 türkische Lira täglich zu verdienen:

#drweb

Zudem wurde das Thema Sozialleistungen ausgenutzt. Auf einer betrügerischen Website wurden Nutzer aus Kasachstan aufgefordert, zu prüfen, ob sie Anspruch auf Sozialgeld haben, um bis zu 5.000.000 Tenge zu erhalten.

#drweb
Nicht empfohlene Websites

Bedrohungen für Mobilgeräte

Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Nutzer im dritten Quartal 2025 am häufigsten mit Adware-Trojanern der Familie Android.MobiDash konfrontiert. Der „Spitzenreiter“ des zweiten Quartals – Android.HiddenAds – fiel auf den zweiten Platz zurück. Gefälschte Apps der Familie Android.FakeApp landeten auf Platz drei.

Im Vergleich zum zweiten Quartal stieg die Aktivität von Android.BankBot. Die Aktivität der Trojaner Android.Banker und Android.SpyMax sank.

Im August berichteten die Experten von Doctor Web über das mehrfunktionale Backdoor-Programm Android.Backdoor.916.origin, das zur Cyberspionage und zum Diebstahl vertraulicher Informationen verwendet wurde.

In den letzten drei Monaten wurden über 70 bösartige und unerwünschte Apps auf Google Play erkannt, darunter Trojaner der Familie Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, gefälschte Apps der Familie Android.FakeApp und die betrügerische App Program.FakeMoney.16, die es angeblich ermöglicht, virtuelle „Münzen“ gegen reales Geld einzulösen.

Besonders wichtige Ereignisse im Bereich der mobilen Sicherheit im dritten Quartal:

Mehr Informationen über Bedrohungen für Mobilgeräte im dritten Quartal 2025 finden Sie in unserem Virenrückblick für Android.

Aktuelle News Alle News