Doctor Web: ringkasan aktivitas virus pada triwulan ke-4 tahun 2025

12 Januari 2026

Berdasarkan statistik deteksi antivirus Dr.Web, jumlah total ancaman yang terdeteksi meningkat sebesar 16,05% pada triwulan keempat tahun 2025 dibandingkan dengan triwulan ketiga. Jumlah ancaman unik menurun sebesar 1,13%. Ancaman yang paling umum adalah adware yang tidak diinginkan, script berbahaya, dan berbagai malware, termasuk downloader dan trojan iklan.

Trojan, termasuk downloader, pencuri kata sandi, dan dropper paling sering terdeteksi dalam lalu lintas e-mail. Exploit, backdoor dan segala jenis script berbahaya juga disebarkan melalui e-mail.

Pengguna yang filenya terkena trojan encoder paling sering menghadapi Trojan.Encoder.35534, Trojan.Encoder.41868, dan Trojan.Encoder.29750.

Pada bulan Oktober kami melaporkan backdoor untuk perangkat Android Android.Backdoor.Baohuo.1.origin yang disebarkan penjahat siber dalam versi modifikasi dari aplikasi Telegram X. Malware ini mencuri login dan kata sandi akun Telegram serta data rahasia lainnya. Dengan menggunakannya, pembuat virus dapat mengelola akun korban yang diretas dan mengendalikan aplikasi tersebut sepenuhnya dengan melakukan berbagai tindakan atas nama pengguna.

Pada bulan November laboratorium antivirus kami menerbitkan sebuah studi tentang serangan tertarget yang dilakukan oleh kelompok peretas Cavalry Werewolf yang ditujukan pada salah satu lembaga pemerintah Rusia. Selama investigasi yang dilakukan para spesialis Doctor Web mengidentifikasi sejumlah alat berbahaya yang digunakan oleh para penyerang, termasuk yang bersifat open-source, dalam kampanyenya. Ciri khas kelompok tersebut dan tindakannya di dalam jaringan yang telah disusupi juga dipelajari.

Pada bulan Desember situs web kami menerbitkan sebuah artikel tentang trojan unik Trojan.ChimeraWire yang meningkatkan popularitas situs web dengan menyamar sebagai manusia untuk menghindari pemblokiran oleh perlindungan anti-bot. Malware ini secara mandiri mencari situs web yang relevan di mesin pencari, membukanya, dan mengklik halaman web berdasarkan parameter yang diterima dari penyerang. Trojan.ChimeraWire disuntikkan ke komputer oleh beberapa aplikasi berbahaya yang mengeksploitasi kerentanan DLL Search Order Hijacking dan menggunakan teknik anti-debugging untuk menghindari deteksi.

Selama triwulan keempat tim analis Internet Doctor Web mengidentifikasi situs web penipuan baru yang menjanjikan uang cepat dan mudah kepada calon korban. Situs web phishing dan situs marketplace palsu lainnya juga telah terdeteksi.

Para spesialis kami telah menemukan malware baru di katalog Google Play, termasuk trojan Android.Joker yang mendaftarkan pemilik perangkat Android ke layanan berbayar, dan aplikasi berbahaya Android.FakeApp yang digunakan oleh penyerang dalam berbagai skema penipuan. Pada saat yang sama, statistik deteksi Dr.Web Security Space untuk perangkat mobile menunjukkan peningkatan aktivitas trojan perbankan untuk platform Android.

Tren utama triwulan ke-4

• Peningkatan jumlah ancaman yang terdeteksi pada perangkat yang dilindungi

• Penurunan jumlah ancaman unik yang digunakan dalam serangan

• Peningkatan permintaan dekripsi file yang terdampak trojan encoder

• Meningkatnya aktivitas trojan perbankan yang menargetkan pemilik perangkat Android

• Penyebaran backdoor Android.Backdoor.Baohuo.1.origin yang meretas akun telegram pengguna Android

• Aplikasi berbahaya baru muncul di katalog Google Play

Berdasarkan data layanan statistik Doctor Web

    Ancaman yang paling sering terdeteksi pada triwulan ke-4 tahun 2025:

• Trojan.Siggen31.34463

  Trojan yang dibuat dalam bahasa pemrograman Go dan ditujukan untuk mengunduh berbagai solusi penambang dan adware ke dalam sistem yang dijadikan target. Malware ini berupa file DLL yang terletak di [string]%appdata%\utorrent\lib.dll[/string]. Untuk peluncuran malware ini memanfaatkan kerentanan kelas DLL Search Order Hijacking pada klien torrent uTorrent.
   

• Adware.Downware.20091

  Adware yang menjadi perantara dalam instalasi program bajakan.
   

• VBS.KeySender.7

  Script berbahaya yang dalam siklus tak berujung mencari jendela berisi teks [string]mode extensions[/string], [string]разработчика[/string] dan [string]розробника[/string] dan mengirim kepadanya kejadian menekan tombol Escape untuk menutupnya secara paksa.

   

• Trojan.BPlug.4268

  Deteksi komponen berbahaya ekstensi browser WinSafe. Komponen ini merupakan skenario JavaScript yang menayangkan ikan yang mengganggu dalam browser.

   

• Adware.Siggen.33379

  Pemblokir iklan browser palsu Adblok Plus yang dipasang pada sistem oleh aplikasi berbahaya lainnya dengan tujuan menampilkan iklan.

   

Statistik program berbahaya dalam lalu lintas e-mail

Ancaman yang paling sering ditemukan dalam lalu lintas e-mail pada triwulan ke-4 tahun 2025:

• W97M.DownLoader.2938

  Sekelompok trojan downloader yang memanfaatkan kerentanan dokumen Microsoft Office. Trojan ini digunakan untuk download program berbahaya yang lain pada komputer yang diserang.
   

• Exploit.CVE-2017-11882.123

• Exploit.CVE-2018-0798.4

  Exploit yang digunakan untuk memanfaatkan kerentanan software Microsoft Office, yang memungkinkan eksekusi kode sembarangan.
   

• Trojan.AutoIt.1413

  Deteksi versi terkompresi dari Trojan.AutoIt.289 yang dibuat dalam bahasa skrip AutoIt. Trojan ini didistribusikan sebagai bagian dari kelompok aplikasi berbahaya: penambang mata uang kripto, backdoor, dan modul yang menyebar sendiri. Trojan.AutoIt.289 melakukan berbagai tindakan berbahaya yang menghambat deteksi payload utama
   

• JS.Phishing.791

  Skenario berbahaya dalam bahasa JavaScript yang menghasilkan halaman web phishing.

Encoder
Pada triwulan ke-4 tahun 2025 jumlah permohonan dekripsi file yang terdampak program trojan encoder meningkat sebesar 1,15% dibandingkan dengan triwulan ke-3.
Dinamika permohonan dekripsi yang diterima oleh Layanan dukungan teknis Doctor Web:
 

Encoder yang paling sering ditemukan pada triwulan ke-4 tahun 2025:

• Trojan.Encoder.35534 — 24,90% permohonan pengguna

• Trojan.Encoder.41868 — 4,21% permohonan pengguna

• Trojan.Encoder.29750 — 3,42% permohonan pengguna

• Trojan.Encoder.26996 — 2,68% permohonan pengguna

• Trojan.Encoder.30356 — 0,38% permohonan pengguna
   

Penipuan online
 

Selama triwulan keempat tahun 2025, analis Internet Doctor Web mencatat munculnya situs web marketplace palsu baru. Penipu yang mengaku sebagai marketplace menawarkan kepada calon korbannya kesempatan untuk memainkan permainan "carousel" (mirip dengan roulette) dengan peluang memenangkan hadiah. Setelah beberapa kali mencoba, pengguna dianggap "beruntung", tetapi untuk menerima hadiah mereka, korban seharusnya terlebih dahulu membayar biaya pengiriman, kemudian asuransi, pajak, dan sebagainya. Dalam beberapa kasus, korban diberitahu bahwa barang yang diinginkan kehabisan stok dan ditawari untuk menukarnya dengan uang tunai. Namun, untuk menerima uang tunai, mereka harus membayar "biaya" tertentu. Jika pengguna setuju, mereka kembali diharuskan membayar biaya tambahan, seperti asuransi, aktivasi akun, dan sebagainya.

                                                        Contoh situs web marketplace palsu yang menawarkan "pembagian hadiah"

Semakin banyak situs web tempat para penipu menjual tiket teater palsu telah ditambahkan ke database situs web yang tidak disarankan dan berbahaya. Situs web ini menawarkan tiket untuk pertunjukan populer, seringkali dengan harga yang menarik. Namun, setelah membayar, korban tidak menerima tiket yang mereka inginkan, dan uang mereka jatuh ke tangan para penipu.
 

Salah satu situs web penipuan yang menjual tiket teater palsu

Juga ditemukan lebih banyak situs web yang meniru situs web bioskop swasta dan menawarkan tiket untuk pemutaran film. Para korban tidak pernah menerima tiket apa pun setelah membelinya dari situs-situs ini.

Situs web bioskop palsu

Spesialis kami mengidentifikasi sejumlah situs phishing, termasuk situs web layanan Steam palsu. Penyerang menggunakan situs-situs ini untuk mencoba mendapatkan informasi akun pengguna dengan meminta pengguna memasukkan nama pengguna dan kata sandi mereka untuk otentikasi.
 

Situs web phishing yang meniru situs web Steam asli dan mendorong calon korban untuk masuk ke akun mereka

Selain itu, para penipu kembali memikat calon korban ke dalam proyek investasi fiktif. Salah satu situs web yang teridentifikasi menawarkan kesempatan kepada pengguna berbahasa Rusia di Amerika Serikat untuk berinvestasi sebesar $250 dalam sebuah proyek bernama Federal Invest dan "mendapatkan hingga $90.000 dalam tiga bulan." Proyek ini seolah-olah dibuat, antara lain, dengan partisipasi Donald Trump.
 

Sebuah situs web palsu yang menawarkan untuk berpartisipasi dalam "proyek investasi yang menguntungkan"

Situs web lain menginformasikan bahwa pengguna Uzbekistan memiliki kesempatan untuk menerima hingga 15.000.000 sum Uzbekistan pada bulan pertama setelah bergabung dengan proyek yang diiklankan, yang diduga terkait dengan sebuah perusahaan holding besar.
 

Situs web palsu yang menjanjikan keuntungan besar kepada warga Uzbekistan dengan berpartisipasi dalam "proyek investasi".

Cari tahu lebih lanjut tentang situs web yang tidak direkomendasikan oleh Dr.Web

Perangkat lunak berbahaya dan tidak diinginkan untuk perangkat mobile

Menurut statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-4 2025 ancaman Android yang paling umum lagi-lagi adalah trojan iklan Android.MobiDash dan Android.HiddenAds, walaupun aktivitasnya menurun. Aplikasi berbahaya dari kelompok Android.Siggen yang menawarkan berbagai fungsi naik ke peringkat ketiga. Aktivitas trojan perbankan telah meningkat selama tiga bulan terakhir, dengan kelompok Android.Banker menunjukkan pertumbuhan paling signifikan.

Perangkat lunak yang tidak diinginkan yang paling umum adalah Program.CloudInject yang dimodifikasi melalui layanan cloud CloudInject. Di antara perangkat lunak yang berpotensi ancaman yang paling aktif adalah Tool.NPMod yang dimodifikasi menggunakan alat NP Manager. Adware yang paling umum adalah modul Adware.Adpush yang disematkan pengembang ke dalam aplikasi Android.

Pada bulan Oktober Doctor Web menerbitkan informasi tentang backdoor berbahaya Android.Backdoor.Baohuo.1.origin yang disusupkan oleh penyerang ke dalam modifikasi aplikasi Telegram X. Malware ini mencuri informasi rahasia dan memungkinkan penyerang untuk mengelola akun korban, serta mengendalikan aplikasi secara langsung dengan mengubah logika operasinya.

Selama triwulan keempat analis virus kami menemukan ancaman baru di katalog Google Play, termasuk trojan Android.Joker yang mendaftarkan pengguna ke layanan berbayar, dan aplikasi berbahaya Android.FakeApp yang digunakan untuk tujuan penipuan.

Peristiwa paling penting terkait keamanan mobile pada triwulan ke-4

• Trojan iklan tetap menjadi ancaman paling umum bagi perangkat Android

• Aktivitas trojan perbankan Android.Banker telah meningkat

• Backdoor berbahaya Android.Backdoor.Baohuo.1.origin, ditemukan dalam modifikasi pihak ketiga dari aplikasi pesan Telegram X

• Aplikasi malware baru muncul di katalog Google Play

Untuk informasi lebih lanjut mengenai situasi virus untuk perangkat mobile pada triwulan ke-4 tahun 2025, baca ringkasan kami.