Doctor Web: Rückblick und Analyse von Bedrohungen im vierten Quartal 2025
12. Januar 2026
Im E-Mail-Verkehr herrschten verschiedene Trojaner wie Downloader, Stealer und Dropper vor. Außerdem wurden Exploits, Backdoors und bösartige Skripte über E-Mails verbreitet.
Unter den Verschlüsselungstrojanern, gehören die Encoder Trojan.Encoder.35534, Trojan.Encoder.41868 und Trojan.Encoder.29750 zu den meistverbreiteten Bedrohungen.
Im Oktober berichteten wir über das Backdoor-Programm Android.Backdoor.Baohuo.1.origin, das als Teil einiger Modifikationen von Telegram X verbreitet wurde. Das bösartige Programm stiehlt Telegram-Konten und vertrauliche Informationen. Das Programm ermöglicht es Hackern, das kompromittierte Telegram-Konto zu verwalten und verschiedene Aktivitäten im Namen des Nutzers im Messenger auszuführen.
Im November haben wir eine Untersuchung eines gezielten Cyberangriffs auf eine russische staatliche Einrichtung durch das Hacker-Team Cavalry Werewolf veröffentlicht. Im Laufe der Untersuchung erkannten die Spezialisten von Doctor Web zahlreiche neue Hacking-Tools, unter anderem Open-Source-Programme, die in Cyberattacken verwendet werden. Wir untersuchten die Besonderheiten und die typischen Aktivitäten des Hacker-Teams innerhalb kompromittierter Netzwerke.
Im Dezember wurde die Untersuchung des Trojaners Trojan.ChimeraWire veröffentlicht. Der Trojaner pusht Websites künstlich und simuliert menschliches Verhalten, um Schutzsysteme zu umgehen. Das bösartige Programm sucht nach bestimmten Websites in den Suchmaschinen, öffnet die gefundenen Websites und klickt Inhalte auf diesen Websites gemäß den erhaltenen Parametern. Trojan.ChimeraWire gelangt auf den Computer durch bösartige Programme, die die DLL Search Order Hijacking-Sicherheitslücke ausnutzen und Methoden verwenden, die die Erkennung durch Antivirenprogramme verhindern.
Im vierten Quartal stellten die Internetanalysten von Doctor Web die Verbreitung neuer betrügerischer Websites fest, auf denen Nutzern schnelles Geld versprochen wurde. Zudem wurden neue Phishing-Ressourcen und gefälschte Online-Einzelhandelsplattformen erkannt.
Unsere Spezialisten fanden viele bösartige Apps auf Google Play, darunter die Trojaner Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, und die bösartigen Apps Android.FakeApp, die in verschiedenen Betrugsschemas verwendet werden. Laut Statistiken von Dr.Web Security Space für mobile Geräte stieg die Aktivität von Banking-Trojanern für Android.
Haupttrends im vierten Quartal
- Anstieg der Anzahl von auf geschützten Geräten erkannten Bedrohungen
- Rückgang der Anzahl der in Cyberangriffen verwendeten einzigartigen Bedrohungen
- Anstieg der Entschlüsselungsanfragen für durch Ransomware verschlüsselte Dateien
- Steigende Aktivität von Banking-Trojanern für Android
- Verbreitung des Backdoor-Programms Android.Backdoor.Baohuo.1.origin, das Telegram-Konten von Android-Nutzern stiehlt
- Neue bösartige Apps auf Google Play
Statistiken von Doctor Web
Meistverbreitete Bedrohungen im vierten Quartal 2025:
- Trojan.Siggen31.34463
- In Go geschriebener Trojaner, der Miner und Adware in das Zielsystem lädt. Stellt eine DLL-Datei dar, die sich unter %appdata%\utorrent\lib.dll befindet. Nutzt die DLL Search Order Hijacking-Sicherheitslücke im Torrent-Client „uTorrent“ aus.
- Adware.Downware.20091
- Adware, die als intermediäre Software zur Installation unlizenzierter Software dient.
- VBS.KeySender.7
- Bösartiges Skript, das in einer Endlosschleife nach Fenstern mit dem Text mode extensions, разработчика und розробника sucht und die Betätigung der Escape-Taste imitiert, um das Fenster zu schließen.
- Trojan.BPlug.4268
- Bösartige Komponente der Browsererweiterung WinSafe. Diese Komponente stellt ein in JavaScript geschriebenes Skript dar, das aufdringliche Werbung in Webbrowsern anzeigt.
- Adware.Siggen.33379
- Gefälschter Browser-Werbeblocker „Adblock Plus“, der von anderen bösartigen Anwendungen installiert wird, um Werbung anzuzeigen.
Malware im E-Mail-Verkehr
Meistverbreitete Bedrohungen im E-Mail-Verkehr im vierten Quartal 2025:
- W97M.DownLoader.2938
- Downloader-Trojaner, der Sicherheitslücken in Microsoft Office-Dateien ausnutzt und weitere bösartige Programme auf infizierte Computer herunterladen kann.
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Exploit, der Schwachstellen von Microsoft Office ausnutzt und es ermöglicht, beliebigen Code auszuführen.
- Trojan.AutoIt.1413
- Gepackte Version des in der Skriptsprache AutoIt geschriebenen Trojaners Trojan.AutoIt.289. Trojan.AutoIt.289 wird als Bestandteil einer aus mehreren bösartigen Programmen (Mining-Trojaner, Backdoors und weitere Module) bestehenden Bedrohung verbreitet und verhindert, dass die Payload erkannt wird.
- JS.Phishing.791
- Bösartiges, in JavaScript geschriebenes Skript
Encoder
Im Vergleich zum dritten Quartal 2025 stieg die Anzahl der Anfragen zur Dateientschlüsselung um 1,15%.
Statistik der Anfragen zur Entschlüsselung von durch Ransomware verschlüsselten Dateien:
Meistverbreitete Encoder im vierten Quartal 2025:
- Trojan.Encoder.35534 — 24.90% der Anfragen
- Trojan.Encoder.41868 — 4.21% der Anfragen
- Trojan.Encoder.29750 — 3.42% der Anfragen
- Trojan.Encoder.26996 — 2.68% der Anfragen
- Trojan.Encoder.30356 — 0.38% der Anfragen
Betrug im Internet
Im vierten Quartal 2025 stellten die Internetanalysten von Doctor Web die Verbreitung neuer gefälschter Online-Einzelhandelsplattformen fest. Betrüger fordern potenzielle Opfer angeblich im Auftrag von Handelsplattformen auf, an einem Glücksrad zu drehen, um einen Preis zu gewinnen. Nach mehreren Versuchen hat der Nutzer schließlich „Glück“, doch um seinen Gewinn zu erhalten, muss er Versandkosten, Versicherung, Steuern etc. bezahlen. In manchen Fällen wird dem Opfer mitgeteilt, dass der gewünschte Artikel nicht mehr vorrätig ist. Dem Nutzer wird weisgemacht, er könnte den entsprechenden Geldbetrag erhalten. Dazu muss er eine „Gebühr“ oder eine „Provision“ für die Geldüberweisung zahlen, ein „Bankkonto“ aktivieren etc.
Auf der gefälschten Online-Handelsplattform werden Nutzer aufgefordert, an einer Verlosung teilzunehmen
Zur Datenbank bösartiger und nicht empfohlener Websites wurden neue Internetressourcen hinzugefügt, auf denen Betrüger gefälschte Theaterkarten verkaufen. Nutzern werden Tickets für populäre Vorstellungen zu attraktiven Preisen angeboten. Der Nutzer bezahlt die gewünschten Tickets – die Betrüger erhalten das Geld.
Eine der betrügerischen Websites, auf denen gefälschte Theaterkarten verkauft wurden
Zudem wurden Ressourcen verbreitet, die Websites von Kinos simulieren und Tickets für Filmvorführungen anbieten. Nach der Zahlung erhalten Nutzer jedoch keine Tickets.
Gefälschte Website eines Kinos
Unsere Spezialisten erkannten eine Reihe von Phishing-Ressourcen, darunter gefälschte Websites der Online-Plattform „Steam“. Auf diesen Ressourcen versuchten Cyberkriminelle, Benutzerkontodaten zu stehlen.
Phishing-Website, die die Website von „Steam“ imitiert. Das potenzielle Opfer wird aufgefordert, sich einzuloggen.
Nach wie vor wurde Nutzern ein hohes Einkommen durch angebliche Investitionsprojekte versprochen. Auf einer solchen Website wurden russischsprachige Nutzer aus den USA aufgefordert, 250 US-Dollar in das Projekt „Federal Invest“ zu investieren, um 90.000 US-Dollar in drei Monaten zu erhalten. Das Projekt wurde angeblich von US-Präsident Donald Trump gefördert.
Betrügerische Website, auf der Nutzer aufgefordert werden, an einem „Investitionsprojekt“ zu verdienen
Nutzern aus Usbekistan wurde weisgemacht, sie könnten nach Beitritt zu dem beworbenen Projekt innerhalb eines Monats 1.500.000 Sum verdienen.
Betrügerische Website, auf der Nutzern in Usbekistan ein hohes Investitionseinkommen versprochen wird
Bedrohungen für Mobilgeräte
Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Android-Nutzer im vierten Quartal 2025 am häufigsten mit den Adware-Trojanern Android.MobiDash und Android.HiddenAds konfrontiert, obwohl deren Aktivität im Vergleich zum dritten Quartal sank. Danach kommen bösartige Anwendungen der Familie Android.Siggen, die über verschiedene bösartige Funktionen verfügen. Im Laufe des Quartals stieg die Aktivität von Banking-Trojanern. Besonders aktiv waren Vertreter der Familie Android.Banker.
Als meistverbreitete unerwünschte Anwendungen für Android erwiesen sich Apps der Familie Program.CloudInject, die über den Cloud-Dienst CloudInject modifiziert wurden. Unter Riskware zeigten die mithilfe des Tools NP Manager modifizierten Apps Tool.NPMod die höchste Aktivität. Zu den häufigsten Werbeanwendungen für Android gehören die Module Adware.Adpush, die in Android-Apps integriert werden.
Im Oktober veröffentlichte Doctor Web eine Untersuchung des gefährlichen Backdoor-Programms Android.Backdoor.Baohuo.1.origin, das Cyberkriminelle in einige Modifikationen von Telegram X integrierten. Das bösartige Programm stiehlt vertrauliche Informationen und ermöglicht es, das kompromittierte Telegram-Konto zu verwalten und die Funktionslogik der infizierten App zu ändern.
Im vierten Quartal erkannten unsere Virenanalysten neue Bedrohungen auf Google Play, darunter Trojaner der Familie Android.Joker, die kostenpflichtige Dienste im Namen der Nutzer abonnieren, und betrügerische Apps der Familie Android.FakeApp.
Besonders wichtige Ereignisse im Bereich der mobilen Sicherheit im vierten Quartal:
- Adware-Trojaner gehören nach wie vor zu den häufigsten Bedrohungen für Android-Geräte
- Anstieg der Verbreitung der Banking-Trojaner Android.Banker
- Erkennung des gefährlichen Backdoor-Programms Android.Backdoor.Baohuo.1.origin in nicht offiziellen Modifikationen von Telegram X
- Im Google Play-Store wurden neue bösartige Anwendungen erkannt
Mehr Informationen über Bedrohungen für Mobilgeräte im vierten Quartal 2025 finden Sie in unserem Virenrückblick für Android.