Doctor Web: Rückblick und Analyse von Bedrohungen im Jahr 2025

15. Januar 2026

Im Jahr 2025 gehörten Trojaner, die aufdringliche Werbung anzeigen, zu den meistverbreiteten Bedrohungen. Außerdem wurden Nutzer mit bösartigen Skripten und Trojaner konfrontiert, die weitere bösartige Programme im infizierten System ausführen. Im E-Mail-Verkehr herrschten Downloader-Trojaner, Backdoors, Exploits, bösartige Skripte und Phishing-Dokumente vor.

Unter Bedrohungen für mobile Geräte wurden Werbetrojaner und gefälschte Apps, die in verschiedenen Betrugsschemas verwendet wurden, am häufigsten verbreitet. Zudem wurde ein Anstieg der Verbreitung von Banking-Trojanern festgestellt. Die Virenanalysten von Doctor Web erkannten zahlreiche neue bösartige und unerwünschte Programme sowie Werbeanwendungen auf Google Play.

Im Vergleich zum Vorjahr sank die Zahl der Benutzeranfragen zur Entschlüsselung von Dateien. Im Laufe des Jahres stellten unsere Internetanalysten eine zunehmende Verbreitung betrügerischer Websites fest, auf denen Telegram-Konten gestohlen wurden. Nach wie vor wurden betrügerische Finanzwebsites verbreitet.

Im Jahr 2025 untersuchte das Virenlabor von Doctor Web mehrere gezielte Cyberangriffe, unter anderem eine Cyberattacke auf ein russisches Maschinenbauunternehmen. Bei dem Cyberangriff wurden bösartige Anwendungen verwendet, die es ermöglichen, vertrauliche Informationen von infizierten Geräten zu stehlen. Unsere Spezialisten stellten heraus, dass der Angriff vom Hackerteam „Scaly Wolf“ durchgeführt worden war. Eine staatliche Einrichtung wurde vom Hackerteam „Cavalry Werewolf“ angegriffen. Im Laufe der Untersuchung erkannten die Virenanalysten von Doctor Web zahlreiche neue Hacking-Tools und untersuchten die Besonderheiten und die typischen Aktivitäten der Hackergruppe innerhalb kompromittierter Netzwerke.

In 2025 berichtete Doctor Web über mehrere IT-Sicherheitsvorfälle. Im Januar erkannte unser Virenlabor eine Kampagne zum Mining der Kryptowährung Monero. In der Kampagne wurden verschiedene bösartige Anwendungen verwendet. Im April berichteten wir über die Erkennung eines Trojaners für Android, mit dessen Hilfe Cyberkriminelle Kryptowährungen stahlen. Außerdem erkannten unsere Spezialisten einen Trojaner, der in eine Version einer populären Geoinformations-App einbettetet und zum Ausspionieren von Android-Nutzern verwendet wurde.

Im Juli berichteten die Experten von Doctor Web über eine neue Trojaner-Familie – Trojaner, die zum Diebstahl von Kryptowährungen und Passwörtern verwendet werden. Die bösartigen Programme wurden als Mods, Cheats und Patches für Computerspiele verbreitet. Im August berichteten unsere Virenanalysten über die Verbreitung eines mehrfunktionalen Backdoor-Programms für mobile Geräte. Die Cyberangriffe zielten hauptsächlich auf russische Unternehmen ab. Das Programm wurde remote gesteuert und ermöglichte es Cyberkriminellen, digitale Aktivitäten potenzieller Opfer zu überwachen und vertrauliche Informationen zu stehlen.

Im Oktober berichteten wir über ein Backdoor-Programm, das als Teil einiger Modifikationen von Telegram X verbreitet wurde. Das bösartige Programm stiehlt Telegram-Konten und vertrauliche Informationen. Das Programm ermöglicht es Hackern, das kompromittierte Telegram-Konto zu verwalten und verschiedene Aktivitäten im Namen des Nutzers im Messenger auszuführen.

Im Dezember wurde die Untersuchung des Trojaners Trojan.ChimeraWire veröffentlicht. Der Trojaner pusht Websites künstlich und simuliert menschliches Verhalten, um Schutzsysteme zu umgehen. Das bösartige Programm sucht nach bestimmten Websites in den Suchmaschinen, öffnet die gefundenen Websites und klickt Inhalte auf diesen Websites gemäß den erhaltenen Parametern.

Im Laufe des Jahres wurde außerdem eine wachsende Verbreitung von ClickFix-Angriffen festgestellt, bei denen Social Engineering genutzt wurde, um Nutzer dazu zu bewegen, bösartige Anwendungen auf ihren Geräten auszuführen.

Interessante Ereignisse in 2025

Im Januar 2025 erkannten die Spezialisten von Doctor Web eine Kampagne zum Mining der Kryptowährung Monero. In der Kampagne wurde der Miner SilentCryptoMiner verwendet. Die bösartigen Dateien wurden als verschiedene Anwendungen (z.B. Videoanruf-Apps) getarnt. Bei der Infizierung des Computers löschten sie andere bereits installierte Miner. Einige der eingesetzten Programme wurden mithilfe der Steganografie verbreitet. Diese Methode ermöglicht es, Informationen diskret (z.B. in einem Bild) zu verbergen. Nach dem Herunterladen solcher Bilder wurden die Komponenten von SilentCryptoMiner extrahiert und gestartet.

Im April berichteten unsere Virenanalysten über den Trojaner Android.Clipper.31, der in der Firmware einiger preisgünstiger Android-Smartphones erkannt wurde. Der Trojaner wurde in eine modifizierte WhatsApp-Version integriert und auf Geräten vorinstalliert, sodass die Lieferketten einiger Hersteller von Android-Smartphones kompromittiert wurden. Android.Clipper.31 fängt ein- und ausgehende Nachrichten ab, sucht nach Krypto-Wallet-Adressen in den Nachrichten und ersetzt diese durch von Cyberkriminellen angegebene Krypto-Wallets. Auf diese Weise verschleiert das Programm, dass die Krypto-Wallet-Adresse ersetzt wurde.

Im selben Monat erkannten die Experten von Doctor Web den Trojaner Android.Spy.1292.origin, der in eine Version der Geoinformations-App „Alpine Quest“ einbettetet und zum Ausspionieren von Android-Nutzern verwendet wurde. Die bösartige App ermöglichte es, vertrauliche Informationen auf infizierten Geräten zu sammeln und Dateien zu stehlen.

Im Juli berichteten die Experten von Doctor Web über die Familie Trojan.Scavenger – Trojaner, die zum Diebstahl von Kryptowährungen und Passwörtern verwendet werden. Die bösartigen Programme wurden als Mods, Cheats und Patches für Computerspiele verbreitet. Die Apps wurden mithilfe legitimer Programme ausgeführt, indem die DLL Search Order Hijacking-Sicherheitslücke ausnutzt wurde.

Im August berichteten unsere Spezialisten über die Verbreitung des mehrfunktionalen Backdoor-Programms Android.Backdoor.916.origin. Die Cyberangriffe zielten hauptsächlich auf russische Unternehmen ab. Die bösartige App wurde als Antivirenprogramm getarnt und über private Nachrichten in Messengern verbreitet. Nach dem Eindringen sammelte Android.Backdoor.916.origin vertrauliche Informationen und ermöglichte es Cyberkriminellen, die Opfer zu überwachen.

Ebenfalls im August veröffentlichte das Virenlabor von Doctor Web eine Untersuchung des gezielten Angriffs auf ein russisches Maschinenbauunternehmen durch das Hackerteam „Scaly Wolf“. Die Cyberkriminellen verwendeten eine Reihe bösartiger Tools, unter anderem das modulare Backdoor-Programm „Updatar“, mit dessen Hilfe sie vertrauliche Informationen von infizierten Computern stahlen.

Im Oktober berichteten die Experten von Doctor Web über das Backdoor-Programm Android.Backdoor.Baohuo.1.origin, das in modifizierte Versionen von Telegram X integriert wurde. Android.Backdoor.Baohuo.1.origin stiehlt Telegram-Konten und vertrauliche Informationen. Das Programm ermöglicht es Cyberkriminellen, die vollständige Kontrolle über den Account des Opfers zu erlangen und verschiedene Aktivitäten im Namen des Nutzers im Messenger auszuführen. Mithilfe des Backdoors können Cyberkriminelle Telegram-Chats und -Kanälen im Namen des Nutzers beitreten und diese verlassen, ohne dass der Nutzer dies merkt, sowie neu autorisierte Geräte tarnen.

Im November haben wir eine Untersuchung eines gezielten Cyberangriffs auf eine russische staatliche Einrichtung durch das Hackerteam Cavalry Werewolf veröffentlicht. Im Laufe der Untersuchung erkannten die Experten von Doctor Web zahlreiche bösartige Tools, unter anderem Open-Source-Programme, die in Cyberattacken verwendet werden. Die Virenanalysten untersuchten die Besonderheiten und die typischen Aktivitäten der Hackergruppe und stellten fest, dass die Hacker häufig Backdoors mit der Funktionalität einer Reverse-Shell und die Telegram-API zur Remote-Verwaltung des infizierten Geräts verwenden. Oft beginnen Cyberangriffe des Hackerteams mit dem Versenden von Phishing-Mails im Namen von staatlichen Einrichtungen, die bösartige Anwendungen enthalten, die als wichtige Dokumente ausgegeben werden.

Im Dezember veröffentlichte Doctor Web eine Untersuchung der bösartigen Anwendung Trojan.ChimeraWire, die das Ranking von Websites in Suchergebnissen künstlich verbessert, indem sie menschliches Verhalten nachahmt. Das Trojaner-Programm sucht nach bestimmten Websites in den Suchmaschinen Google und Bing, öffnet die gefundenen Websites und klickt Inhalte auf diesen Websites an, gemäß der erhaltenen Aufgaben. Trojan.ChimeraWire wird mithilfe einer Reihe bösartiger Programme installiert, die die DLL Search Order Hijacking-Sicherheitslücke ausnutzen.

Im Laufe des Jahres 2025 wurde ein Anstieg der Anzahl von ClickFix-Cyberangriffen beobachtet. Bei diesen Angriffen wird Social Engineering genutzt, um Nutzer dazu zu bewegen, bösartigen Code auf ihren Geräten auszuführen. Wenn der Nutzer eine kompromittierte Website öffnet, erscheint eine Fehlermeldung oder eine Benachrichtigung über die Notwendigkeit, den Browser zu aktualisieren. Um das Problem zu „beheben“, wird der Nutzer aufgefordert, bestimmte Zeilen zu kopieren oder (je nach Angriffsszenario) auf einen Button (z.B. „Aktualisieren“, „Fehler beheben“ etc.) zu klicken. Im letzteren Fall werden bestimmte Inhalte automatisch in die Zwischenablage kopiert. Danach wird der Nutzer aufgefordert, die Befehlszeile oder das PowerShell-Terminal zu öffnen, den Inhalt der Zwischenablage einzufügen und die Enter-Taste zu betätigen. Auf diese Weise führt das Opfer den bösartigen Code aus, der eine weitere Infizierung des Computers durchführt. Mehr Informationen über ClickFix-Angriffe finden Sie in diesem Artikel.

Viren

Im vorigen Jahr zeigte die Analyse der Statistiken von Dr.Web einen 5,45%igen Anstieg der Gesamtzahl erkannter Bedrohungen im Vergleich zum Jahr 2024. Die Zahl der einzigartigen Bedrohungen ging um 15,89% zurück. Am häufigsten wurden Nutzer mit verschiedenen bösartigen Skripten und Werbetrojanern konfrontiert. Außerdem wurden Trojaner verbreitet, die weitere bösartige Programme starten. Nach wie vor waren Nutzer von in der Skriptsprache AutoIt geschriebenen Trojanern betroffen, die in andere Schadprogramme integriert werden, um deren Erkennung zu erschweren.

VBS.KeySender.6

VBS.KeySender.7

Bösartiges Skript, das in einer Endlosschleife nach Fenstern mit dem Text mode extensions, разработчика und розробника sucht und die Betätigung der Escape-Taste imitiert, um das Fenster zu schließen.

Trojan.BPlug.4242

Bösartige Komponente der Browsererweiterung WinSafe. Diese Komponente stellt ein in JavaScript geschriebenes Skript dar, das aufdringliche Werbung in Webbrowsern anzeigt.

Trojan.Starter.8319

Trojan.Starter.8326

Trojan.Starter.8332

Bösartige XML-Skripte, die den Trojaner Trojan.AutoIt.289 und dessen Komponenten starten.

JS.Siggen5.44590

In die öffentliche JavaScript-Bibliothek es5-ext-main integrierter Schadcode. Zeigt eine bestimmte Meldung an, wenn das Paket auf einem Server mit der Zeitzone einer der Städte in Russland installiert ist.

Trojan.Siggen30.53926

Modifizierter Host-Prozess des Frameworks Electron. Tarnt sich als Komponente der Anwendung Steam (Steam Client WebHelper) und lädt ein in JavaScript geschriebenes Backdoor-Programm.

JS.MalVpn.1

Bösartiges Skript, das von verschiedenen bösartigen Anwendungen verwendet wird, um eine Verbindung zu Verwaltungsservern herzustellen.

Trojan.Siggen31.34463

In Go geschriebener Trojaner, der Miner und Adware in das Zielsystem lädt. Stellt eine DLL-Datei dar, die sich unter %appdata%\utorrent\lib.dll befindet. Nutzt die DLL Search Order Hijacking-Sicherheitslücke im Torrent-Client „uTorrent“ aus.

Im E-Mail-Verkehr dominierten Trojaner, die weitere bösartige Programme herunterladen und installieren. Zudem wurden Backdoors, Exploits, Phishing-Dokumente und bösartige Skripte verbreitet.

W97M.DownLoader.2938

Downloader-Trojaner, der Sicherheitslücken in Microsoft Office-Dateien ausnutzt und weitere bösartige Programme auf infizierte Computer herunterladen kann.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploit, der Schwachstellen von Microsoft Office ausnutzt und es ermöglicht, beliebigen Code auszuführen.

JS.Phishing.684

JS.Phishing.745

Bösartiges, in JavaScript geschriebenes Skript.

BackDoor.AgentTeslaNET.20

Bösartige Spyware, die vertrauliche Informationen stiehlt. Das Programm sammelt Login-Daten und Passwörter aus verschiedenen Anwendungen (Browser, Messenger, E-Mail-Clients, Datenbanken etc.) und leitet die gesammelten Informationen an Cyberkriminelle weiter. Außerdem ist das Programm in der Lage, den Inhalt des Pufferspeichers zu stehlen, als Keylogger zu funktionieren und Screenshots zu erstellen.

Win32.Expiro.153

Dateivirus, der ausführbare Windows-Dateien infiziert. Das Programm dient dazu, Passwörter für verschiedene Anwendungen zu stehlen.

JS.DownLoader.1225

Heuristische Erkennung für ZIP-Archive, die JavaScript-Skripte mit verdächtigen Namen enthalten.

Trojan.PackedNET.3223

Erkennung bösartiger Anwendungen, die mit Software-Packern geschützt wurden.

Trojan.AutoIt.1413

Gepackte Version des in der Skriptsprache AutoIt geschriebenen Trojaners Trojan.AutoIt.289. Trojan.AutoIt.289 wird als Bestandteil einer aus mehreren bösartigen Programmen (Mining-Trojaner, Backdoors und weitere Module) bestehenden Bedrohung verbreitet und verhindert, dass die Payload erkannt wird.

Encoder

Im Vergleich zum Jahr 2024 erhielt das Virenlabor von Doctor Web 35,98% weniger Anfragen zur Entschlüsselung von Dateien. Das Diagramm zeigt den Verlauf der Anzahl solcher Anfragen:

Am häufigsten wurden in 2025 folgende Encoder verbreitet:

Trojan.Encoder.35534 (23,22% der Anfragen)

Encoder, der auch als Mimic bekannt ist. Bei der Suche nach zu verschlüsselnden Zieldateien nutzt der Trojaner die Bibliothek everything.dll des legitimen Programms Everything, das für die schnelle Suche nach Dateien auf Windows-Computern konzipiert ist.

Trojan.Encoder.35209 (3,33% der Anfragen)

Encoder, der auf dem Quellcode des Trojaners Conti basiert. Das Programm verschlüsselt Dateien mithilfe des Algorithmus ChaCha20. Nach der Löschung einer Reihe von Verwaltungsservern und der Veröffentlichung privater RSA-Verschlüsselungsschlüssel für einige Modifikationen dieser Malware ist nun die Entschlüsselung betroffener Dateien verfügbar.

Trojan.Encoder.35067 (2,50% der Anfragen)

Encoder, auch bekannt als Macop (eine der Modifikationen des Trojaners Trojan.Encoder.30572). Zeichnet sich durch eine kleine Größe (30-40 KB) aus. Der Trojaner enthält keine fremden Kryptografiebibliotheken und verwendet ausschließlich CryptoAPI-Funktionen zur Verschlüsselung. Verwendet den Verschlüsselungsalgorithmus AES-256. Die Schlüssel werden mithilfe von RSA-1024 geschützt.

Trojan.Encoder.41868 (2,31% der Anfragen)

Encoder, dessen Teile darauf hinweisen, dass er von der Hackergruppe C77L entwickelt wurde.

Trojan.Encoder.29750 (2,13% der Anfragen)

Trojaner, der mehrere Modifikationen hat. Aktuelle Modifikationen verwenden den Verschlüsselungsalgorithmus AES-256+RSA.

Betrug im Internet

Im Laufe des Jahres 2025 beobachteten die Internetanalysten von Doctor Web eine zunehmende Verbreitung von Phishing-Websites, die zum Diebstahl von Telegram-Accounts dienen. Cyberkriminelle verwendeten verschiedene Betrugsschemas: gefälschte Anmeldeseiten, Meldungen, die angeblich vom Telegram-Support stammten und über Verletzungen der Nutzungsbedingungen und die Notwendigkeit, den Account zu verifizieren, informierten etc.

Phishing-Website, die den Nutzer darüber informiert, dass der Telegram-Account des Nutzers aufgrund eines Verstoßes gegen die Nutzungsbedingungen verifiziert werden muss

Ähnliche Phishing-Websites wurden für Spielplattformen, Onlineshops etc. entwickelt. Gefälschte Internetressourcen ahmten das Design originaler Websites nach und forderten Nutzer auf, sich anzumelden. Wenn der Nutzer hereinfiel, wurden seine Anmeldedaten und vertraulichen Informationen gestohlen.

Phishing-Anmeldeformular auf der gefälschten Website von Steam

Nutzer wurden mit betrügerischen Internetressourcen konfrontiert, auf denen ihnen Geschenke oder günstige Sonderangebote versprochen wurden. Es wurden gefälschte Websites von Online-Einzelhandelsplattformen verbreitet, auf denen potenzielle Opfer aufgefordert wurden, an einer Verlosung teilzunehmen. Alle Teilnehmer „gewannen“. Um den „Gewinn“ zu erhalten, musste der Nutzer eine Steuer / Versicherung / Zustellung bezahlen. In anderen Betrugsschemas wurde der Nutzer darüber informiert, dass das „gewonnene“ Produkt bereits ausverkauft ist. Dem Nutzer wurde ein gleichwertiger Geldbetrag angeboten. Um das Geld zu erhalten, wurde der Nutzer dazu bewogen, eine Gebühr, eine Provision etc. zu zahlen. Die Opfer erhielten jedoch keine Preise.

Auf der gefälschten Online-Handelsplattform werden Nutzer aufgefordert, an einer Verlosung teilzunehmen

Mit ähnlichen Betrugsschemas wurden Nutzer in Großbritannien konfrontiert. Sie wurden aufgefordert, kostenlose Fahrkarten anlässlich des Jubiläums eines Verkehrsunternehmens zu erhalten. Um die gewonnene Fahrkarte zu erhalten, musste das Opfer seine persönlichen Daten angeben und eine „Gebühr“ zahlen.

Auf der betrügerischen Website werden Nutzer aufgefordert, an einer „Fahrkartenverlosung“ teilzunehmen

Wie im Vorjahr wurden verschiedene betrügerische Finanzwebsites verbreitet. Nutzer wurden aufgefordert, mithilfe von automatisierten Handelssystemen, die angeblich einzigartige Algorithmen verwenden und auf künstlicher Intelligenz basieren, Geld zu verdienen. Mit ähnlichen Websites wurden Nutzer in vielen Ländern konfrontiert. In der Regel werden potenzielle Opfer aufgefordert, ihre persönlichen Daten anzugeben, um einen „Antrag“ oder ein „Benutzerkonto“ zu erstellen. Die angegebenen Informationen werden an Cyberkriminelle weitergeleitet, die diese entweder verkauften oder sie für weitere betrügerische Tricks nutzen und Nutzer z.B. auffordern, eine gefälschte Investitionsplattform zu nutzen und dort ihr „Guthaben“ aufzuladen.

Betrügerische Website, auf der Zugriff auf eine auf künstlicher Intelligenz basierte „Investitionsplattform“ versprochen wird, die angeblich von Apple entwickelt wurde

Viele betrügerische Websites wurden nach ähnlichen Vorlagen aufgebaut – als Chat mit einem „virtuellen Assistenten“ oder einem „Mitarbeiter“ eines bestimmten Unternehmens, in dessen Namen die Betrüger angeblich kommunizieren. Nutzer werden aufgefordert, einige Fragen zu beantworten und ihre persönlichen Daten angeben.

Auf einer betrügerischen Website wurde Nutzern aus Frankreich Zugriff auf die nicht existierende Trading-Software „TraderAI“ angeboten, mit deren Hilfe sie angeblich ab 3500 Euro verdienen könnten

Auf einer Website wurde für eine Investitionsplattform beworben, die angeblich auf Telegram basiert. Nutzern wurde ein monatliches Einkommen in Höhe von 10.000 Euro aus automatisiertem Handel von Aktien weltbekannter Unternehmen über den Messenger versprochen.

Nutzer werden aufgefordert, am „automatisierten“ Aktienhandel über Telegram zu verdienen

Außerdem wurden Nutzer aufgefordert, mithilfe von Handels-Bots via Telegram, WhatsApp, TikTok etc. zu verdienen.

Website, auf der Nutzer aufgefordert werden, einen gefälschten Handels-Bot zu verwenden, der angeblich von WhatsApp-Entwicklern entwickelt wurde

Im Laufe des Jahres 2025 erkannten unsere Internetanalysten neue betrügerische Websites, die Nutzern aus Europa, Russland, GUS-Ländern und anderen Ländern ein hohes Einkommen aus Investitionen in Öl- und Gasunternehmen versprachen. Potenzielle Opfer werden in der Regel aufgefordert, ihre persönlichen Informationen (Vor- und Nachname, Handynummer, E-Mail-Adresse etc.) anzugeben.

Betrügerische Website, die Nutzer aus Kirgisistan dazu animiert, am Erdöl- und Gashandel zu verdienen

Zudem wurden Websites verbreitet, auf denen Nutzer angeblich Sozialleistungen beantragen könnten. Nutzer aus Russland wurden mit betrügerischen Internetressourcen konfrontiert, die angeblich mit einem staatlichen Dienstleistungsportal in Verbindung stehen.

Betrügerische Website, die angeblich mit einem staatlichen Dienstleistungsportal in Verbindung steht und russischen Nutzern Sozialgeld und Einkommen aus Investitionen in ein großes Öl- und Gasunternehmen verspricht. Um am Programm teilzunehmen, muss der Nutzer seine persönlichen Daten angeben

Unsere Spezialisten erkannten neue gefälschte Online-Schulungsplattformen, auf denen Nutzer angeboten wurden, ihre Finanzkompetenz zu verbessern, einen Beruf zu erlernen etc. Um Zugriff auf die gewünschte Schulungsplattform zu erhalten, musste das potenzielle Opfer seine persönlichen Daten angeben.

Betrügerische Website, auf der Englischkurse angeboten werden

Die Internetanalysten von Doctor Web erkannten Websites, auf denen gefälschte Theaterkarten verkauft wurden. Nutzern wurden Theaterkarten zu günstigen Preisen angeboten. Nach der Zahlung erhielten Nutzer jedoch keine Tickets.

Website, auf der gefälschte Theaterkarten verkauft werden

Außerdem wurden Ressourcen verbreitet, die Websites von Kinos simulierten. Ähnlich wie bei der Verbreitung gefälschter Theaterkarten bieten Betrüger Nutzern Kinokarten an. Als Ergebnis verliert das Opfer sein Geld.

Gefälschte Website eines Kinos

Bedrohungen für Mobilgeräte

Laut Statistiken von Dr.Web Security Space für mobile Geräte wurden Android-Nutzer im Jahr 2025 am häufigsten mit den Trojanern Android.MobiDash und Android.HiddenAds sowie mit gefälschten Apps der Familie Android.FakeApp konfrontiert. Statt der versprochenen Funktionalität laden die letzteren oft betrügerische und bösartige Websites. Es wurde ein Anstieg der Anzahl der Trojaner Android.Triada beobachtet. Bei diesen Trojanern handelt es sich um mehrfunktionale Bedrohungen, die in die Firmware von Android-Geräten integriert werden. Unsere Analysten stellten eine steigende Aktivität der Banking-Trojaner Android.Banker fest. Die Aktivität der Banking-Trojaner Android.SpyMax ging zurück.

Im vorigen Jahr verwendeten Virenschreiber verschiedene Technologien zum Schutz vor Erkennung durch Antivirenprogramme. Eine der Methoden bestand in der Umwandlung von DEX-Code in C-Code (bekannt als DCC oder DEX to C).

Zu den meistverbreiteten unerwünschten Anwendungen gehören Anwendungen der Familie Program.FakeMoney. Diese Programme fordern Nutzer auf, bestimmte Aufgaben zu erfüllen, um eine virtuelle Belohnung zu erhalten, die später angeblich gegen echtes Geld eingelöst werden kann. Auf Android-Geräten wurden häufig die Anwendungen Program.FakeAntiVirus.1 und Program.CloudInject.1 erkannt. Die erste ahmt die Funktion von Antivirenprogrammen nach, meldet angebliche Bedrohungen und bewegt den Nutzer dazu, eine Vollversion der Software zu kaufen, um das Gerät zu „desinfizieren“. Bei der zweiten handelt es sich um eine über einen Cloud-Dienst modifizierte Anwendung, in die verschleierter Code integriert wird, dessen Ausführung nicht kontrolliert werden kann. Zudem erhält die App gefährliche Berechtigungen.

Unter der Riskware waren die mithilfe des Tools NP Manager modifizierten Anwendungen Tool.NPMod besonders aktiv. Das Tool verschleiert den Code der zu modifizierenden Anwendungen und ermöglicht es, die Verifizierung der digitalen Signatur zu umgehen. Zu den meistverbreiteten Werbeanwendungen gehören nicht offizielle Modifikationen von WhatsApp (Adware.ModAd.1). Diese Modifikationen klicken automatisch auf Werbelinks im Messenger.

Im Laufe des Jahres wurden Vorfälle einer Infektion von Firmware für Android-Geräte erkannt. Wir berichteten über einen der Vorfälle im April. Cyberkriminelle installierten die bösartige Anwendung Android.Clipper.31 im Systembereich einiger preisgünstiger Smartphone-Modelle vor und nutzten die Anwendung zum Diebstahl von Kryptowährungen. Ein anderes Hackerteam integrierte den Trojaner Android.Triada in die Firmware einiger Android-Smartphones. Außerdem wurden neue Vorfälle einer Infektion von Firmware von Set-Top-Boxen unter Android erkannt. Zur Infektion wurden neue Modifikationen des Trojaners Android.Vo1d verwendet, den unsere Virenanalysten im Vorjahr erkannt hatten.

Außerdem erkannte das Virenlabor von Doctor Web mehrere gefährliche Anwendungen. Im April berichteten wir über den Trojaner Android.Spy.1292.origin, der in einer modifizierten Version der Geoinformations-App „Alpine Quest“ getarnt wurde und auf russische Nutzer abzielte. Android.Spy.1292.origin leitete vertrauliche Informationen wie Handynummer, Account-Daten etc. sowie Informationen über Kontakte und die Geräteortung an Cyberkriminellen weiter. Auf Befehl der Hacker konnte das Programm über Messenger übermittelte Dokumente und Dateien sowie Ortungsprotokolle aus der App „Alpine Quest“ stehlen.

Im August berichteten wir über das Backdoor-Programm Android.Backdoor.916.origin, das als Antivirenprogramm getarnt und über private Nachrichten in Messengern verbreitet wurde. Android.Backdoor.916.origin stiehlt vertrauliche Informationen und ermöglicht es, Nutzeraktivitäten zu überwachen. Das Backdoor zielte meist auf Mitarbeiter russischer Unternehmen ab.

Im Oktober berichteten wir über das mehrfunktionale Backdoor-Programm Android.Backdoor.Baohuo.1.origin, das in modifizierten Versionen von Telegram X erkannt wurde. Das Programm wird zum Diebstahl vertraulicher Informationen (Anmeldedaten und Passwörter für Telegram-Accounts, eingehende SMS-Nachrichten, Nachrichten im Messenger, Informationen aus dem Pufferspeicher etc.) verwendet. Das Backdoor ermöglicht es Cyberkriminellen, das kompromittierte Telegram-Konto zu verwalten. Das Programm wird unter anderem über die Redis-Datenbank verwaltet, was bei Android-Bedrohungen bisher nicht vorkam. Android.Backdoor.Baohuo.1.origin zielte meist auf brasilianische und indonesische Nutzer ab.

Mehr Informationen über Bedrohungen für Mobilgeräte im Jahr 2025 finden Sie in unserem Virenrückblick für Mobilgeräte.

Trends und Aussichten

Im Jahr 2026 werden Nutzer höchstwahrscheinlich mit Adware-Trojaner konfrontiert, die Cyberkriminelle verbreiten, um illegal Geld zu verdienen. Außerdem ist eine steigende Aktivität von Banking-Trojanern zu erwarten.

Ein Anstieg der Verbreitung von Technologien und Tools, die es ermöglichen, bösartige Aktivitäten zu verhindern (Packer, Dienstprogramme zur Codeverschleierung, Dropper, mehrstufige Downloader, Steganografie etc.) ist wahrscheinlich. Es könnten neue bösartige Programme erscheinen, die mithilfe künstlicher Intelligenz entwickelt werden. Neue Bedrohungsfamilien und ein Anstieg der Gesamtanzahl von Bedrohungen sind zu erwarten.

Cyberkriminelle werden neue gezielte Angriffe, unter anderem auf die Infrastruktur großer Unternehmen und staatlicher Einrichtungen, durchführen. Neue Infektionen preisgünstiger Android-Smartphones, Set-Top-Boxen und Smart-TVs sind nicht ausgeschlossen. Internetbetrug wird weiterhin aktiv betrieben.