Doctor Web: Rückblick und Analyse von Bedrohungen für Mobilgeräte im zweiten Quartal 2025

Monatsberichte | Hot news | Mobile Bedrohungen | Alle News | Viren-News

1. Oktober 2025

Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Nutzer im dritten Quartal 2025 am häufigsten mit den Trojanern Android.MobiDash konfrontiert, die aufdringliche Werbung anzeigen. Diese Bedrohungen wurden um 18,19% häufiger als im vorigen Quartal erkannt.

Die Trojaner Android.HiddenAds, deren Aktivität auch im zweiten Quartal sank, fielen auf den zweiten Platz zurück. In den letzten drei Monaten wurden Nutzer um 71,85% seltener mit Vertretern dieser Familie konfrontiert. Diese bösartigen Anwendungen tarnen ihre Präsenz im infizierten System und zeigen aufdringliche Werbung (unter anderem Vollbildschirm-Videos) über anderen Anwendungen an.

Auf Platz drei landeten Vertreter der Familie Android.FakeApp, die in verschiedenen Betrugsschemas verwendet werden. Die Anzahl dieser Bedrohungen ging um 7,49% zurück. Statt der versprochenen Funktionalität laden solche Trojaner oft betrügerische und bösartige Websites sowie Websites von Online-Casinos und Wett-Portale.

Zu den häufigsten Banking-Trojanern gehören nach wie vor Vertreter der Familie Android.Banker, obwohl deren Aktivität um 38,88% gesunken ist. Diese Trojaner werden von Cyberkriminellen genutzt, um sich unbefugten Zugriff auf Bankkonten der Nutzer zu verschaffen und Geld zu stehlen. Sie sind in der Lage, Phishing-Fenster zum Diebstahl von Anmeldedaten und Passwörtern anzuzeigen, die Benutzeroberfläche und das Design von Banking-Anwendungen nachzuahmen, SMS-Nachrichten mit Einmalkennwörtern abzufangen etc.

An zweiter Stelle stehen Programme der Familie Android.BankBot, die um 18,91% häufiger als im vorigen Quartal erkannt wurden. Diese Anwendungen verschaffen sich Zugriff auf Online-Banking-Accounts der Nutzer, indem sie Bestätigungscodes abfangen. Darüber hinaus können diese Banking-Trojaner verschiedene Befehle von Cyberkriminellen ausführen. Einige Vertreter dieser Familie ermöglichen die Fernsteuerung infizierter Geräte.

Abgerundet werden die Top-3 von den Anwendungen Android.SpyMax, die auf dem Quellcode des Spyware-Trojaners SpyNote basieren. Diese Bedrohungen wurden um 17,25% seltener als im zweiten Quartal erkannt. Diese Schadprogramme verfügen über zahlreiche bösartige Funktionen. Sie ermöglichen es Cyberkriminellen, infizierte Geräte fernzusteuern.

Im August berichteten wir über eine Kampagne zur Verbreitung des mehrfunktionalen Programms Android.Backdoor.916.origin, das von Cyberkriminellen zum Diebstahl vertraulicher Informationen und zur Überwachung der Aktivitäten von Android-Nutzern genutzt wird. Potenzielle Opfer erhielten Nachrichten über verschiedene Messenger, in denen sie aufgefordert wurden, den in der angehängten APK-Datei enthaltenen „Antivirus“ zu installieren. Das Virenlabor von Doctor Web hatte die ersten Versionen des bösartigen Programms bereits im Januar 2025 entdeckt und beobachtet seitdem die weitere Entwicklung des Programms. Laut unseren Experten wird das Backdoor-Programm in gezielten Angriffen eingesetzt und ist nicht für die Massenverbreitung vorgesehen. Diese Kampagne zielt hauptsächlich auf russische Unternehmen ab.

Im dritten Quartal wurden zahlreiche bösartige und unerwünschte Anwendungen über Google Play verbreitet, darunter Programme der Familie Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, sowie gefälschte Anwendungen der Familie Android.FakeApp. Insgesamt wurden sie über 1.459.000-mal installiert. Außerdem erkannten unsere Spezialisten ein neues bösartiges Programm, das es angeblich ermöglicht, virtuelle „Münzen“ gegen reales Geld einzulösen.

Haupttrends im dritten Quartal

  • Die Adware-Trojaner Android.MobiDash gehören zu den meistverbreiteten Bedrohungen
  • Die Verbreitung der Trojaner Android.HiddenAds ging zurück
  • Die Anzahl von Angriffen mithilfe der Trojaner Android.BankBot ist gestiegen
  • Die Aktivität der Trojaner Android.Banker und Android.SpyMax ist gesunken
  • Cyberkriminelle nutzten das mehrfunktionale Backdoor-Programm Android.Backdoor.916.origin in Angriffen auf Unternehmen
  • Über Google Play wurden zahlreiche bösartige Programme verbreitet

Statistiken Dr.Web Security Space für mobile Geräte

Malware_Stat_Q3_2025
Android.MobiDash.7859
Trojaner, der aufdringliche Werbung anzeigt. Stellt ein in Apps integriertes Softwaremodul dar.
Android.FakeApp.1600
Trojaner, der die in seinen Einstellungen festgelegte Website öffnet. Bekannte Modifikationen dieses Trojaners laden Online-Casinos.
Android.Click.1812
Bösartige WhatsApp-Messenger-Mods, die im Hintergrund verschiedene Websites laden können.
Android.HiddenAds.673.origin
Trojaner, die aufdringliche Werbung anzeigen. Trojaner der Familie Android.HiddenAds werden als harmlose Anwendungen verbreitet und manchmal von anderen Schadprogrammen im Systemverzeichnis installiert. Nachdem diese Trojaner auf ein Android-Gerät gelangen, tarnen sie ihre Präsenz im infizierten System, indem sie z.B. ihr Symbol vom Startbildschirm des Geräts entfernen.
Android.Triada.5847
Packer für Trojaner der Familie Android.Triada. Der Packer verhindert Erkennung und Analyse dieser Trojaner. Häufig wird er zusammen mit bösartigen Telegram-Messenger-Mods verwendet, in die die Trojaner eingebettet werden.
Unwanted_Stat_Q3_2025
Program.FakeMoney.11
Anwendungen, die eine Belohnung für den Nutzer simulieren, wenn dieser bestimmte Aufgaben erfüllt. Der Nutzer muss einen bestimmten Mindestbetrag verdienen, um das virtuelle Geld auf sein Bankkonto überweisen zu können. In der Regel enthalten solche Programme eine Liste von Banken und Zahlungssystemen, über die der Nutzer angeblich das versprochene Geld erhalten kann. Doch selbst wenn der Nutzer alle Bedingungen erfüllt, erhält er kein Geld. Als Program.FakeMoney wird eine Reihe unerwünschter Anwendungen erkannt, die auf ähnlichem Code basieren.
Program.CloudInject.5
Program.CloudInject.1
Android-Apps, die mithilfe des Cloud-Dienstes CloudInject und des gleichnamigen Android-Tools (Tool.CloudInject) modifiziert wurden. Die Modifikation erfolgt auf einem Remote-Server automatisch – das heißt, der Nutzer, der die Modifikation initiiert, kontrolliert nicht, welcher Code in die App integriert wird. Die Apps erhalten eine Reihe wichtiger Berechtigungen. Nach Abschluss der Modifikation kann der Cyberkriminelle die Apps remote verwalten: sperren, Dialoge anzeigen und konfigurieren, Installationen und Deinstallationen anderer Software verfolgen etc.
Program.FakeAntiVirus.1
Adware, die Aktionen einer Virenschutzsoftware nachahmt. Solche Programme melden angebliche Bedrohungen. Sie führen Benutzer irre und fordern diese auf, eine Vollversion der Software zu kaufen.
Program.TrackView.1.origin
App, die Nutzer von Android-Geräten überwacht. Das Programm ermöglicht es Cyberkriminellen, Geräte zu orten, Videos, Fotos und Audios auf dem infizierten Gerät aufzunehmen, die Umgebung über das Mikrofon des Geräts abzuhören etc.
Riskware_Stat_Q3_2025
Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4
Mithilfe des Tools NP Manager modifizierte Android-Apps. In solche Apps wird ein Modul integriert, das es ermöglicht, die Verifizierung der digitalen Signatur nach der App-Modifikation zu umgehen.
Tool.LuckyPatcher.2.origin
Tool, das es ermöglicht, Android-Apps durch die Erstellung von Patches zu modifizieren, um die Funktionslogik der App zu ändern oder bestimmte Einschränkungen zu umgehen. Mithilfe des Tools versuchen Nutzer, die Prüfung des Root-Zugriffs in Banking-Apps zu deaktivieren und sich Zugriff auf unbegrenzte Ressourcen in Handyspielen zu verschaffen. Um Patches zu erstellen, lädt das Programm spezielle Skripts aus seiner Online-Datenbank herunter. Jeder Nutzer kann seine eigenen Skripts erstellen und in die Datenbank eintragen. Solche Skripts können bösartige Funktionen enthalten, daher sind sie potenziell gefährlich.
Tool.Androlua.1.origin
Erkennung potenziell gefährlicher Versionen des in der Skriptsprache Lua geschriebenen Frameworks zur Entwicklung von Android-Anwendungen. Die Hauptlogik von Lua-Anwendungen liegt in den verschlüsselten Skripten, die vom Interpreter vor der Ausführung entschlüsselt werden. Solche Frameworks fordern in der Regel Zugriff auf Systemberechtigungen an. Daher können über diese Frameworks ausgeführte Lua-Skripte verschiedene bösartige Aktivitäten ausführen.
Adware_Stat_Q3_2025
Adware.AdPush.3.origin
Adware.Adpush.21846
Adware-Module, die in Android-Apps integriert werden. Sie zeigen Werbebenachrichtigungen an, die Nutzer irreführen. Solche Benachrichtigungen können wie Systembenachrichtigungen aussehen. Außerdem können diese Module persönliche Informationen sammeln und weitere Anwendungen herunterladen und installieren.
Adware.ModAd.1
Erkennung einiger modifizierter WhatsApp-Versionen mit integriertem Schadcode, der bösartige Links über die Webanzeige lädt. Von diesen Internetressourcen werden Nutzer auf Online-Casinos, Wett-Portale, nicht jugendfreie Websites etc. weitergeleitet.
Adware.Youmi.4
Erkennung unerwünschter Adware-Module, die Werbung auf dem Hauptbildschirm von Android-Geräten anzeigen.
Adware.Basement.1
Anwendungen, die unerwünschte Werbung anzeigen, die häufig Links zu bösartigen und betrügerischen Websites enthält. Sie haben eine gemeinsame Codebasis mit den unerwünschten Programmen Program.FakeMoney.11.

Bedrohungen auf Google Play

Im dritten Quartal 2025 erkannte das Virenlabor von Doctor Web über 50 Trojaner der Familie Android.Joker auf Google Play. Diese Trojaner ermöglichen es, kostenpflichtige Dienste im Namen der Nutzer zu abonnieren. Sie wurden als verschiedene Apps verbreitet: Messenger, Systemdienstprogramme, Text- und Bildbearbeitungsprogramme etc.

#drweb

Trojaner tarnen sich im Programm zur Systemoptimierung „Clean Boost“ (Android.Joker.2412) und im Programm zum Konvertieren von Text in PDF-Dokumente „Convert Text to PDF“ (Android.Joker.2422)

Zudem erkannten unsere Spezialisten neue gefälschte Anwendungen der Familie Android.FakeApp, die in verschiedenen Betrugsschemas verwendet werden. Einige davon wurden als Finanz- und Investitions-Apps, Apps zur Selbstbildung etc. verbreitet und öffneten betrügerische Websites. Andere Trojaner der Familie Android.FakeApp tarnten sich in Handyspielen und konnten Websites von Online-Casinos und Wett-Portale laden.

#drweb

Trojaner der Familie Android.FakeApp tarnen sich als Finanz-Apps. In Android.FakeApp.1889 wurden Nutzer aufgefordert, ihre Finanzkenntnisse zu prüfen Android.FakeApp.1890 versprach Nutzern, ihre Finanzkompetenz zu verbessern.

Unsere Experten fanden das unerwünschte Programm Program.FakeMoney.16, das als die App „Zeus Jackpot Mania“ verbreitet wurde. Nutzer erhielten virtuelle „Münzen“ und konnten diese angeblich gegen reales Geld einlösen.

#drweb

Program.FakeMoney.16 auf Google Play

Nutzer wurden aufgefordert, bestimmte Informationen anzugeben, um virtuelle „Münzen“ gegen reales Geld einlösen zu können.

#drweb

Program.FakeMoney.16 fordert den Nutzer auf, seinen vollständigen Namen und seinen Bank-Account anzugeben

Um Ihre Android-Geräte vor Schadprogrammen zu schützen, nutzen Sie die Dr.Web Produkte für Android.

Indikatoren der Kompromittierung
Aktuelle News Alle News