Doctor Web: panoramica sull'attività di virus per l'anno 2025

15 gennaio 2026

Nel 2025 una delle minacce più attive sono stati i trojan progettati per la visualizzazione della pubblicità. Gli utenti riscontravano anche i vari script malevoli ed applicazioni trojan che avviano nel sistema infetto altri malware. Nel traffico email con la maggiore frequenza venivano rilevati i programmi trojan downloader, backdoor, exploit, script malevoli e documenti di phishing.

Tra le minacce mobili, sono stati i più diffusi i trojan pubblicitari e i programmi falsificazione utilizzati in vari schemi fraudolenti. Si registrava anche una crescita dell'attività dei trojan bancari. Oltre a questo, gli analisti dei virus Doctor Web hanno individuato decine di nuovi programmi malevoli, indesiderati e pubblicitari sullo store di app Google Play.

Rispetto al 2024, è diminuito il numero di richieste degli utenti per la decriptazione di file. Allo stesso tempo, durante l'anno i nostri analisti internet registravano una crescita del numero di siti fraudolenti creati per rubare gli account utente del programma di messaggistica Telegram. Di nuovo erano diffusi anche i siti indesiderati a tema finanziario.

Nel 2025 il laboratorio antivirus Doctor Web ha investigato diversi attacchi mirati, uno di cui era diretto a un'impresa metalmeccanica russa. Nel corso dell'attacco, i malintenzionati utilizzavano una serie di applicazioni malevole, con cui cercavano di ottenere dati confidenziali dai computer infetti. I nostri specialisti hanno stabilito che nell'attacco era coinvolto un gruppo di hacker chiamato Scaly Wolf. Un altro incidente ha interessato un ente pubblico russo che è stato attaccato da un gruppo di hacker con il nome Cavalry Werewolf. Gli analisti dei virus Doctor Web hanno individuato numerosi strumenti malevoli dei malintenzionati, nonché hanno esaminato le caratteristiche del gruppo e le azioni tipiche di esso all'interno di reti compromesse.

Durante il 2025, l'azienda Doctor Web ha riferito una serie di altri incidenti di sicurezza informatica. A gennaio il nostro laboratorio dei virus ha individuato un'attiva campagna di mining della criptovaluta Monero, organizzata con l'impiego di molteplici programmi malevoli di vario genere. E ad aprile abbiamo informato di un trojan trovato nel firmware di una serie di modelli di smartphone Android. Tramite di esso i cybercriminali rubavano criptovalute. Inoltre, ad aprile i nostri specialisti hanno individuato un trojan Android che i malintenzionati avevano inserito in una delle versioni di un popolare programma cartografico e utilizzavano per spiare i militari russi.

A luglio gli esperti Doctor Web hanno parlato di una nuova famiglia di trojan creati per rubare criptovalute e password. I malintenzionati li distribuivano con il pretesto di mod, cheat e patch per giochi. Ad agosto gli analisti dei virus hanno avvertito della diffusione di un backdoor multifunzionale per dispositivi mobili, che era mirato ai rappresentanti del business russo. I criminali informatici lo gestivano in remoto, rubando per il suo tramite dati confidenziali e spiando le vittime.

Ad ottobre abbiamo raccontato di un backdoor per dispositivi Android, che i cybercriminali distribuiscono come parte di versioni modificate del programma di messaggistica Telegram X. Questo programma malevolo ruba i login e le password degli account Telegram e anche altri dati confidenziali. Per il suo tramite, gli attori di minacce possono gestire gli account hackerati delle vittime e controllare completamente il programma di messaggistica stesso, effettuando varie azioni a nome degli utenti.

A dicembre sul nostro sito web è stato pubblicato un materiale su un trojan che "gonfia" la popolarità di siti, e per questo scopo si finge umano dimodoché le sue attività non vengano bloccate dalla protezione antibot delle piattaforme internet. Il programma malevolo cerca in autonomo i siti necessari nei motori di ricerca, li apre ed esegue clic sulle pagine web in base ai parametri ricevuti dai malintenzionati.

Nel 2025 c'è stato anche un aumento della popolarità degli attacchi ClickFix, in cui i malintenzionati utilizzano il social engineering per indurre gli utenti ad eseguire un codice malevolo sui loro dispositivi.

Eventi più interessanti del 2025

A gennaio 2025 gli specialisti Doctor Web hanno individuato una campagna di mining della criptovaluta Monero effettuata con l'utilizzo del cryptominer malevolo SilentCryptoMiner. I suoi file erano camuffati da vari software, ad esempio, programmi per videochiamate. Infettando i computer, essi eliminavano altri cryptominer che potevano essere stati precedentemente installati nel sistema. In questa campagna, per la distribuzione di alcuni componenti malevoli, i malintenzionati utilizzavano la steganografia — tecnica che consente di celare dati tra altri dati (ad esempio, in immagini). Dopo il download delle immagini appositamente formate, i componenti corrispondenti di SilentCryptoMiner venivano estratti da esse e avviati.

Ad aprile i nostri analisti dei virus hanno informato di un trojan, Android.Clipper.31, rilevato nel firmware di una serie di modelli economici di smartphone Android. I malintenzionati l'avevano incorporato in una versione modificata dell'app di messaggistica WhatsApp, che quindi avevano preinstallato su dispositivi, compromettendo la catena di fornitura di alcuni produttori. Android.Clipper.31 intercetta i messaggi inviati e ricevuti nell'app di messaggistica, cerca in essi indirizzi di portafogli delle criptovalute Tron ed Ethereum, e li sostituisce con indirizzi appartenenti ai cybercriminali. Allo stesso tempo, il trojan occulta la sostituzione furtiva, e le vittime vedono in tali messaggi gli indirizzi di portafogli corretti.

Lo stesso mese, gli esperti Doctor Web hanno individuato un trojan Android, chiamato Android.Spy.1292.origin, che i malintenzionati avevano incorporato in una delle versioni del programma cartografico Alpine Quest e utilizzavano per spiare i militari russi. L'applicazione malevola raccoglieva informazioni confidenziali e consentiva agli attaccanti di rubare file dai dispositivi infetti.

A luglio sul sito dell'azienda Doctor Web è stato pubblicato un materiale sui programmi trojan Trojan.Scavenger, progettati il furto di criptovalute e password. I malintenzionati li distribuivano con il pretesto di mod, cheat e patch per giochi. Queste applicazioni malevole venivano avviate con l'utilizzo di software legittimi, tra l'altro, tramite lo sfruttamento in essi delle vulnerabilità di classe DLL Search Order Hijacking.

Ad agosto i nostri specialisti hanno avvisato della diffusione di un backdoor multifunzionale, Android.Backdoor.916.origin, che era mirato ai rappresentanti di aziende russe. L'applicazione malevola sotto le apparenze di un antivirus si diffondeva tramite messaggi privati nelle applicazioni di messaggistica. Entrando nei dispositivi target, Android.Backdoor.916.origin raccoglieva dati confidenziali e permetteva agli attaccanti di spiare le vittime.

Oltre a ciò, ad agosto il laboratorio antivirus Doctor Web ha pubblicato un'indagine su un attacco mirato effettuato da un gruppo di hacker, Scaly Wolf, a un'impresa metalmeccanica russa. I cybercriminali hanno utilizzato un intero set di strumenti malevoli, tra cui uno dei principali è stato un backdoor modulare Updatar. Consentiva agli attaccanti di raccogliere dati riservati dai computer infetti.

Ad ottobre gli esperti Doctor Web hanno parlato di un backdoor, Android.Backdoor.Baohuo.1.origin, incorporato in versioni modificate dai malintenzionati del programma di messaggistica Telegram X. Android.Backdoor.Baohuo.1.origin ruba i login e le password degli account Telegram, nonché sottrae una serie di altri dati confidenziali. Il programma malevolo consente ai malintenzionati di ottenere il completo controllo dell'account dell'utente e gestire il programma di messaggistica eseguendo in esso azioni a nome della vittima. Ad esempio, gli attaccanti possono impercettibilmente aderire a canali Telegram e abbondonarli, nonché nascondere nuovi dispositivi autorizzati nell'interfaccia della modificazione trojan di Telegram X.

A novembre abbiamo pubblicato uno studio di un attacco mirato di un gruppo di hacker, Cavalry Werewolf, a un ente pubblico russo. Analizzando l'incidente, gli esperti Doctor Web hanno individuato numerosi strumenti malevoli dei cybercriminali, inclusi strumenti a codice sorgente aperto. Gli analisti dei virus hanno esaminato le caratteristiche del gruppo di hacker e hanno scoperto che i suoi partecipanti preferiscono utilizzare backdoor con la funzionalità di reverse shell e spesso adoperano Telegram API per la gestione dei computer infetti. Inoltre, iniziano gli attacchi inviando email di phishing presumibilmente a nome di enti pubblici e allegando a tali messaggi software malevoli mascherati da vari documenti ufficiali.

A dicembre l'azienda Doctor Web ha pubblicato un'analisi di un'applicazione malevola, Trojan.ChimeraWire, che aumenta artificialmente la popolarità di siti fingendo di essere una persona. L'applicazione trojan cerca in autonomo i siti necessari nei motori di ricerca Google e Bing, li apre ed esegue clic sulle pagine web caricate in base ai compiti ricevuti dai malintenzionati. Trojan.ChimeraWire viene installato sui computer con l'ausilio di una serie di programmi malevoli che sfruttano le vulnerabilità di classe DLL Search Order Hijacking.

Durante il 2025, si osservava una crescita della popolarità degli attacchi con l'utilizzo del metodo ClickFix. Consiste in quello che i malintenzionati sfruttano il social engineering spingendo con inganno le potenziali vittime ad eseguire autonomamente un codice malevolo. Quando gli utenti vanno su un sito malevolo o compromesso, quest'ultimo li informa di un presunto errore o della necessità di aggiornare il browser e suggerisce di "risolvere" il problema. Per questo scopo, a secondo della variante di attacco, agli utenti viene chiesto o di copiare le stringhe indicate sulla pagina o di cliccare semplicemente sul pulsante corrispondente (ad esempio, "Aggiorna" o "Risolvi"). In quest'ultimo caso, il contenuto richiesto verrà automaticamente copiato negli appunti. Quindi viene chiesto a loro di aprire il prompt dei comandi o il terminale PowerShell, incollare in esso il contenuto degli appunti e premere il tasto Invio. Come risultato, le vittime eseguono autonomamente un codice malevolo, il quale avvia una catena di infezione del computer. Maggiori informazioni sugli attacchi ClickFix possono essere trovate nel materiale corrispondente sul nostro sito.

Situazione di virus

Secondo i dati delle statistiche di rilevamento dell'antivirus Dr.Web, nel 2025 il numero totale di minacce rilevate è cresciuto del 5,45% rispetto al 2024. Il numero di minacce uniche è diminuito del 15,89%. Il più spesso gli utenti affrontavano i vari script malevoli e i trojan pubblicitari. Inoltre, risultavano diffusi i trojan utilizzati per l'avvio di altri programmi malevoli. Gli utenti di nuovo riscontravano anche le applicazioni trojan create in linguaggio di scripting AutoIt e distribuite come parte di altri malware per la complicazione del loro rilevamento.

VBS.KeySender.6

VBS.KeySender.7

Script malevolo che in ciclo infinito cerca finestre con il testo mode extensions, разработчика e розробника e invia ad esse un evento di clic sul pulsante Escape, chiudendole forzatamente.

Trojan.BPlug.4242

Rilevamento di un componente malevolo di un'estensione browser WinSafe. Questo componente rappresenta uno script JavaScript che visualizza pubblicità invadenti nei browser.

Trojan.Starter.8319

Trojan.Starter.8326

Trojan.Starter.8332

Rilevamento di script XML malevoli che avviano il trojan Trojan.AutoIt.289 e i suoi componenti.

JS.Siggen5.44590

Codice malevolo aggiunto a una libreria JavaScript pubblica es5-ext-main. Visualizza un messaggio specifico se il pacchetto è installato su un server con un fuso orario di città russe.

Trojan.Siggen30.53926

Processo host di un framework Electron modificato dai malintenzionati, che si mimetizza da componente dell'applicazione Steam (Steam Client WebHelper) e carica un backdoor JavaScript.

JS.MalVpn.1

Script malevolo utilizzato da vari programmi malevoli per la connessione ai server di comando e controllo.

Trojan.Siggen31.34463

Trojan scritto nel linguaggio di programmazione Go e studiato per caricare nel sistema di destinazione vari cryptominer e software pubblicitari. Il programma malevolo è un file DLL e si trova in %appdata%\utorrent\lib.dll. Per avviarsi, sfrutta la vulnerabilità di classe DLL Search Order Hijacking nel client torrent uTorrent.

Nel traffico email nel 2025 venivano riscontrati con la maggiore frequenza i programmi trojan che scaricavano e installavano altri malware. I malintenzionati distribuivano tramite messaggi email anche i vari backdoor, exploit, documenti di phishing e script malevoli.

W97M.DownLoader.2938

Famiglia di trojan downloader che utilizzano vulnerabilità in documenti Microsoft Office. Sono studiati per scaricare altri programmi malevoli sul computer attaccato.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploit per l'utilizzo di vulnerabilità nel software Microsoft Office, che consentono di eseguire codice arbitrario.

JS.Phishing.684

JS.Phishing.745

Script malevolo nel linguaggio JavaScript che genera una pagina web di phishing.

BackDoor.AgentTeslaNET.20

Programma malevolo spia studiato per il furto di informazioni confidenziali. Ad esempio, raccoglie e trasmette ai malintenzionati i login e le password da numerose applicazioni, come browser, programmi di messaggistica, client di posta, database ecc. Anche ruba dati dagli appunti, realizza la funzionalità di keylogger e può catturare schermate (screenshot).

Win32.Expiro.153

Virus di file che infetta file eseguibili Windows. Il suo scopo principale consiste nel furto di password da vari programmi.

JS.DownLoader.1225

Rilevamento euristico per gli archivi ZIP contenenti script JavaScript con nomi sospetti.

Trojan.PackedNET.3223

Rilevamento di programmi malevoli protetti tramite packer.

Trojan.AutoIt.1413

Rilevamento di una versione impacchettata del programma trojan Trojan.AutoIt.289 scritto nel linguaggio di script AutoIt. Viene distribuita come parte di un gruppo di diverse applicazioni malevole: un cryptominer, un backdoor e un modulo per la distribuzione autonoma. Trojan.AutoIt.289 esegue varie azioni malevole che ostacolano il rilevamento del payload principale.

Ransomware di criptazione

Rispetto al 2024, nel 2025 le richieste degli utenti interessati dai programmi trojan ransomware di criptazione pervenuti al Servizio di supporto tecnico Doctor Web sono state il 35,98% in meno. La dinamica di registrazione delle richieste di decriptazione di file è presentata sul diagramma sotto.

I ransomware di criptazione più diffusi nel 2025

Trojan.Encoder.35534 (23,22% di richieste utente)

Ransomware di criptazione anche conosciuto come Mimic. Durante la ricerca dei file target da criptare, il trojan utilizza la libreria [string]everything.dll[/string] del programma legittimo Everything, progettato per la ricerca istantanea di file su computer Windows.

Trojan.Encoder.35209 (3,33% di richieste utente)

Ransomware di criptazione basato sul codice sorgente del trojan encoder Conti. Cripta i file tramite l'algoritmo ChaCha20. Dopo la liquidazione di una serie di server di comando e controllo dei malintenzionati e la divulgazione delle chiavi di crittografia RSA private, per alcune varianti di questo programma malevolo è disponibile la decriptazione dei file colpiti.

Trojan.Encoder.35067 (2,50% di richieste utente)

Ransomware di criptazione conosciuto come Macop (una delle varianti di questo trojan è Trojan.Encoder.30572). Ha dimensioni ridotte, di circa 30-40 Kbyte. Questo è in parte dovuto al fatto che il trojan non porta con sé librerie crittografiche di terze parti, e per la criptazione e la generazione delle chiavi si avvale esclusivamente delle funzioni CryptoAPI. Per la criptazione di file utilizza l'algoritmo AES-256, e le chiavi stesse vengono cifrate tramite RSA-1024.

Trojan.Encoder.41868 (2,31% di richieste utente)

Ransomware di criptazione, gli artefatti in cui indicano il coinvolgimento nella sua creazione del gruppo di hacker C77L.

Trojan.Encoder.29750 (2,13% di richieste utente)

Trojan ransomware che ha più versioni. Le sue varianti attuali criptano i file con l'algoritmo AES-256+RSA.

Frode online

Nel 2025 gli analisti internet dell'azienda Doctor Web osservavano una crescita del numero di siti di phishing creati per il furto degli account del programma di messaggistica Telegram. I malintenzionati adoperavano vari schemi: false pagine di autenticazione e autorizzazione, falsi messaggi dal servizio di supporto Telegram che avvisavano di presunte violazioni identificate durante l'uso del programma di messaggistica e della necessità di eseguire una "verifica" dell'account ecc.

Esempio di sito di phishing che informa della necessità di eseguire una verifica dell'account Telegram in relazione a una certa violazione delle condizioni di uso del servizio

I simili siti venivano creati anche per gli utenti di altri servizi web, ad esempio, piattaforme di gioco, negozi online ecc. Le falsificazioni potevano avere l'aspetto delle vere risorse internet e suggerivano di eseguire l'accesso all'account. Se gli utenti cadevano nella trappola, le informazioni confidenziali finivano nelle mani dei malintenzionati.

Falso sito del servizio Steam visualizza un modulo di phishing per l'inserimento di login e password

Gli utenti di nuovo riscontravano varianti di vario genere di risorse internet fraudolente che offrivano tutti i tipi di omaggi e buoni, la partecipazione a certe "promozioni vantaggiose". Risultavano diffusi i falsi siti dei marketplace russi, dove gli visitatori presumibilmente potrebbero partecipare a un'estrazione a premi. La vincita su tali siti era programmata in anticipo, mentre per "riceverla", alla vittima veniva chiesto di effettuare un determinato pagamento, ad esempio, sotto forma di presunta imposta, e quindi per la consegna della merce e la sua assicurazione. In altre varianti dello schema fraudolento, la merce richiesta presumibilmente non sarebbe disponibile, ma invece di essa verrebbe offerto l'equivalente in denaro. Per "ricevere" i soldi, l'utente anche doveva effettuare una serie di pagamenti: sotto forma di una tassa, un'assicurazione ecc. Alla fine la vittima non riceveva alcun premio.

Esempio di falso sito di marketplace che suggerisce di partecipare a "un'estrazione a premi"

Varianti di tali schemi erano i falsi siti di compagnie di trasporto rivolti agli abitanti di Regno Unito. Invitavano a partecipare all'estrazione di carte trasporti che presumibilmente sarebbero correlati a un determinato evento e consentirebbero di usare gratis i servizi di trasporto pubblico. Dopo che le vittime "vincevano", i truffatori chiedevano a loro di fornire i dati personali e pagare una piccola "commissione".

Sito truffa che presumibilmente a nome di una compagnia di trasporto suggerisce di partecipare a "un'estrazione della carta"

Rimanevano attuali gli svariati siti fraudolenti a tema finanziario. Di nuovo erano popolari tra i malintenzionati le risorse che suggerivano di guadagnare con il trading con l'utilizzo di sistemi automatizzati basati su certi algoritmi unici e tecnologie di intelligenza artificiale. I simili siti vengono creati per abitanti di molti paesi. Il più spesso, su di essi vengono chiesti i dati personali per registrare "la richiesta" o "l'account", dopodiché le informazioni finiscono nelle mani dei malintenzionati che le utilizzano a loro discrezione. Successivamente loro possono rivendere i dati o continueranno ad attirare le potenziali vittime verso il falso servizio di investimento, chiedendo di versare denaro sul conto di "trading".

Uno dei siti truffa che offrivano l'accesso a una "piattaforma di investimento" su base di tecnologie di intelligenza artificiale presumibilmente era legato ad Apple corporation

Molti di questi siti sono costruiti sulla base di modelli simili sotto forma di falsa chat con un "assistente virtuale" o un "collaboratore" di una determinata azienda, a cui nome presumibilmente i truffatori comunicano con la potenziale vittima. Agli utenti viene suggerito di rispondere a una serie di domande e quindi fornire i dati personali.

Su uno dei siti i malintenzionati suggerivano agli utenti da Francia di ottenere l'accesso a un software di trading automatizzato inesistente, TraderAI, che presumibilmente consentirà di guadagnare da 3.500 €

Una delle risorse pubblicizzava un servizio di investimento, presumibilmente costruito direttamente sulla base del servizio di messaggistica Telegram. Il sito prometteva un reddito di 10.000 € al mese dal trading automatico sulle azioni di aziende globali "direttamente nel browser telefonico".

Sito dei truffatori invita a unirsi alla "piattaforma Telegram" che presumibilmente eseguirebbe il trading su azioni in autonomo

I malintenzionati proponevano, inoltre, alle potenziali vittime di guadagnare tramite i "bot di trading", presumibilmente creati con la partecipazione di grandi aziende e servizi, quale Telegram, WhatsApp, TikTok e altri ancora

Esempio di sito che invitava a utilizzare un bot di trading inesistente, presumibilmente legato al sistema di messaggistica WhatsApp

Durante il 2025, i nostri analisti internet hanno rilevato nuovi siti fraudolenti che invitavano a investire nel settore petrolifero e del gas gli utenti da molti paesi, inclusi Russia, paesi CSI ed europei. Su tali siti, nella maggior parte dei casi, alle potenziali vittime anche vengono chieste le informazioni personali: nome, cognome, numero di cellulare, indirizzo email ecc.

Sito fraudolento volto ai cittadini di Kirghizistan suggerisce loro di "guadagnare con il petrolio e gas" promettendo un cospicuo reddito

Comparivano nuovamente i siti truffa che suggerivano di ottenere un "sostegno statale" sotto forma di bonus o compensazioni. Ad esempio, nel segmento di internet russo erano diffuse le risorse truffa presumibilmente legate al portale web dei servizi statali Gosuslugi.

Esempio di sito truffa, presumibilmente legato al servizio web Gosuslugi, che prometteva agli utenti russi pagamenti stabili da parte dello Stato e di una grande compagnia petrolifera e del gas. Per "partecipare" al programma dei pagamenti, alla vittima veniva chiesto di fornire i dati personali

I nostri specialisti hanno registrato anche la comparsa di ulteriori siti di falsi progetti di formazione. Invitavano gli utenti a seguire vari corsi di formazione per migliorare la propria alfabetizzazione finanziaria, imparare una determinata professione ecc. Per "accedere" alla formazione, le potenziali vittime, come in molti altri schemi simili, anche dovevano fornire le loro informazioni personali.

Uno dei siti truffaldini invitava a imparare l'inglese

Gli analisti internet Doctor Web rivelavano nuovi siti fraudolenti per la vendita di biglietti teatrali. Su tali risorse i malintenzionati suggeriscono alle potenziali vittime di acquistare biglietti a prezzi convenienti, tuttavia, dopo averli pagati, gli utenti non li ricevono.

Esempio di sito truffa che vende biglietti teatrali inesistenti

Oltre a ciò, si sono diffusi anche nuovi falsi siti di cinema privati. Come nel caso dei biglietti teatrali, alle potenziali vittime viene proposto di acquistare biglietti cinematografici, ma in fin dei conti loro solo consegnano i propri soldi ai malintenzionati.

Falso sito di uno dei cinema privati

Per dispositivi mobili

Secondo le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel 2025 gli utenti di Android il più spesso riscontravano i trojan pubblicitari Android.MobiDash e Android.HiddenAds, nonché i programmi falsificazione Android.FakeApp, che invece di fornire le funzionalità dichiarate, possono caricare vari siti web, inclusi quelli malevoli e fraudolenti. Si registrava una crescita dell'attività delle applicazioni trojan Android.Triada. Rappresentano minacce multifunzionali che i malintenzionati incorporano nel firmware di dispostivi Android. Oltre a ciò, si osservava una crescita del numero di attacchi dei trojan bancari Android.Banker. Allo stesso tempo, è diminuita l'attività dei banker Android.SpyMax.

Nell'anno passato gli attori di minacce hanno continuato a utilizzare le varie tecniche di protezione dei malware per SO Android. Una di esse era il metodo di conversione di codice DEX in codice C (conosciuto come DCC o DEX to C).

Le applicazioni indesiderate più diffuse sono stati i programmi Program.FakeMoney. Suggeriscono agli utenti di completare vari compiti in cambio di premi virtuali e promettono la possibilità di convertire la ricompensa in denaro reale. Ma in realtà, in essi non c'è questa possibilità. Oltre a ciò, venivano frequentemente rilevate sui dispositivi protetti le applicazioni Program.FakeAntiVirus.1 e Program.CloudInject.1. Quelle prime imitano il funzionamento di antivirus e rilevano minacce inesistenti, offrendo "l'eliminazione" dell'infezione dopo l'acquisto di una versione completa. Quelle seconde rappresentano applicazioni che sono state modificate tramite un popolare servizio cloud. Durante la modifica ad esse vengono aggiunti autorizzazioni di sistema pericolose e un codice offuscato il cui scopo non può essere controllato.

I programmi modificati tramite l'utility NP Manager (vengono rilevati come Tool.NPMod) sono stati i software potenzialmente pericolosi più diffusi. L'utility offusca il codice delle applicazioni modificate e consente di aggirare il controllo della loro firma digitale. Risultano i programmi pubblicitari più attivi nel 2025 le mod di WhatsApp estranee (Adware.ModAd.1) che aprono automaticamente link pubblicitari durante l'uso dell'app di messaggistica.

Nel 2025 sono stati rivelati nuovi casi di infezione dei firmware di dispositivi Android. La nostra azienda ha avvisato di uno di tali casi ad aprile. I malintenzionati hanno preinstallato un'applicazione malevola, Android.Clipper.31, nell'area di sistema di alcuni modelli di smartphone economici, e con l'ausilio di essa rubavano la criptovaluta degli utenti. Altri attaccanti hanno potuto incorporare i pericolosi trojan Android.Triada nel firmware di altri modelli di smartphone Android. Oltre a ciò, sono stati registrati ulteriori casi di infezione dei firmware di TV box Android da nuove versioni del trojan Android.Vo1d, che la nostra azienda ha scoperto nel 2024.

Nel corso dell'anno passato, il laboratorio antivirus Doctor Web ha individuato una serie di applicazioni malevole pericolose. Ad aprile abbiamo parlato del trojan Android.Spy.1292.origin, che era nascosto in un programma cartografico modificato da attori di minacce, Alpine Quest, e attaccava i militari russi. Android.Spy.1292.origin trasmetteva ai malintenzionati dati sul numero di cellulare e sugli account, raccoglieva i contatti dalla rubrica, la geolocalizzazione del dispositivo infetto ed informazioni sui file in esso memorizzati. Era in grado, inoltre, di rubare determinati file su comando degli attaccanti. In particolare, a loro interessavano documenti riservati trasmessi tramite servizi di messaggistica, nonché il file di log delle localizzazioni del programma Alpine Quest.

Ad agosto i nostri specialisti hanno avvertito del backdoor Android.Backdoor.916.origin che i malintenzionati distribuivano sotto le apparenze di un antivirus attraverso messaggi privati nelle app di messaggistica. Android.Backdoor.916.origin ruba informazioni confidenziali e consente di spiare gli utenti. L'obiettivo principale di questo backdoor erano i collaboratori del business russo.

Ad ottobre abbiamo informato di un backdoor multifunzionale, Android.Backdoor.Baohuo.1.origin, individuato dai nostri analisti dei virus in versioni modificate del programma di messaggistica Telegram X. Anche questo malware viene utilizzato per il furto di dati confidenziali, inclusi i login e le password di Telegram, gli SMS in arrivo, la corrispondenza nell'app di messaggistica e dati dagli appunti. Oltre a ciò, il backdoor consente ai malintenzionati di gestire completamente il programma di messaggistica e controllare l'account Telegram hackerato della vittima. Per gestire il backdoor, i cybercriminali utilizzavano sia il server C2 che il database Redis, il che in precedenza non si osservava nelle minacce Android. Android.Backdoor.Baohuo.1.origin predominantemente era mirato agli abitanti di Indonesia e Brasile.

Per maggiori informazioni sulla situazione di virus per dispositivi mobili nel 2025 leggete la nostra panoramica.

Prospettive e probabili tendenze

Nel nuovo anno 2026, una delle minacce per gli utenti più diffuse probabilmente rimarranno i trojan pubblicitari, tramite cui i malintenzionati ottengono un reddito illegale. Ci si può aspettare che i cybercriminali utilizzeranno più spesso le applicazioni trojan bancarie, le quali anche permettono loro di arricchirsi.

È possibile un'ulteriore crescita della popolarità dei vari strumenti e metodi che aiutano a nascondere l'attività malevola. Possiamo evidenziare tra questi l'utilizzo dei packer e programmi di offuscamento, programmi malevoli dropper e downloader a più fasi, nonché l'impiego della steganografia per l'occultamento del payload. Oltre a ciò, nel corso della creazione di malware, i cybercriminali, anche aventi poca esperienza nella programmazione, sempre più spesso ricorreranno agli assistenti di intelligenza artificiale. Come risultato, compariranno nuove famiglie di malware, e il numero di minacce crescerà.

Di nuovo saranno sotto mira gli enti pubblici e le imprese, il che porterà a ulteriori attacchi mirati. Sono probabili, inoltre, nuovi casi di infezione dei firmware di smartphone Android, TV box e altri tipi di dispositivi mobili, specialmente nel segmento economico. Persisterà l'attività dei truffatori internet.