Doctor Web: ringkasan aktivitas virus pada triwulan ke-2 tahun 2025
Berdasarkan statistik deteksi antivirus Dr.Web, pada triwulan ke-2 tahun 2025 total jumlah ancaman yang ditemukan menurun 7,38% dibandingkan triwulan pertama. Jumlah ancaman unik ikut menurun sebesar 23,10%. Yang paling sering terdeteksi pada perangkat yang dilindungi adalah adware yang tidak diinginkan, backdoor, trojan iklan dan script berbahaya. Dalam traffic e-mail ancaman yang paling sering ditemukan adalah trojan downloader, berbagai script berbahaya dan trojan dropper.
Para pengguna yang filenya terkena encoder paling sering menghadapi encoder Trojan.Encoder.35534, Trojan.Encoder.35209 dan Trojan.Encoder.29750.
Pada bulan April analis virus Doctor Web melaporkan adanya trojan yang ditemukan dalam firmware sejumlah model smartphone Android. Penjahat siber menggunakannya untuk mencuri mata uang kripto. Selain itu, tim ahli kami mengidentifikasi trojan Android yang telah disematkan oleh penyerang dalam salah satu versi program pemetaan populer dan digunakan untuk memata-matai personel militer Rusia.
Selama triwulan ke-2 para analis internet kami menemukan banyak situs penipuan baru. Di antaranya ada situs platform pendidikan palsu yang seolah-olah mengajak calon korban untuk menjalani pelatihan daring dan meningkatkan keahliannya, serta situs bertema investasi yang menjanjikan uang cepat dan mudah didapat.
Statistik deteksi pada perangkat mobile menunjukkan penurunan aktivitas trojan iklan Android.HiddenAds, namun kelompok malware ini tetap menjadi ancaman Android yang paling umum. Di saat yang sama, pada triwulan ke-2 laboratorium virus kami menemukan banyak ancaman baru di katalog Google Play.
Trend utama triwulan ke-2
Penurunan jumlah ancaman yang ditemukan pada perangkat yang dilindungi
Penurunan jumlah ancaman unik yang digunakan dalam serangan
Munculnya banyak situs penipu yang seolah-olah berkaitan dengan bidang pendidikan dan keuangan
Deteksi serangan spyware trojan untuk memata-matai personel militer Rusia yang menggunakan software pemetaan populer untuk perangkat Android
Temuan trojan yang ditujukan untuk mencuri mata uang kripto dalam firmware sejumlah model smartphone Android
Trojan iklan Android.HiddenAds tetap menjadi salah satu ancaman yang paling umum untuk Android
- Dalam katalog Google Play ditemukan program baru yang berbahaya dan tidak diinginkan
Berdasarkan data layanan statistik Doctor Web

Ancaman yang paling sering terdeteksi pada triwulan ke-2 tahun 2025:
VBS.KeySender.6
Script berbahaya yang dalam siklus tak berujung mencari jendela berisi teks [string]mode extensions[/string], [string]разработчика[/string] dan [string]розробника[/string] dan mengirim kepadanya kejadian menekan tombol Escape untuk menutupnya secara paksa.
Adware.Downware.20091
Adware yang menjadi perantara dalam instalasi program bajakan.
Trojan.BPlug.4242
Trojan.BPlug.3814
Deteksi komponen berbahaya pada ekstensi browser WinSafe. Komponen ini merupakan skenario JavaScript yang menampilkan iklan yang mengganggu dalam browser.
Trojan.Siggen30.53926
Proses host framework Electron yang dimodifikasi oleh penyerang, yang menyamar sebagai komponen aplikasi Steam (Steam Client WebHelper) dan mengunduh backdoor JavaScript.
Statistik program berbahaya dalam traffic e-mail

Kode berbahaya yang ditambahkan ke dalam JavaScript-library publik es5-ext-main. Memperlihatkan pesan tertentu apabila paket telah diinstal di server dengan zona waktu kota-kota Rusia.
JS.Inject
Sekelompok skenario berbahaya yang dibuat dengan bahasa JavaScript. Skenario tersebut menanamkan script berbahaya ke dalam kode HTML halaman web.
Worm dalam jaringan yang disebarkan antara lain melalui perangkat penyimpanan data yang dapat dilepas.
W97M.DownLoader.2938
Sekelompok trojan downloader yang memanfaatkan kerentanan dokumen Microsoft Office. Trojan ini digunakan untuk download program berbahaya yang lain pada komputer yang diserang.
PDF.Phisher.867
Dokumen PDF yang digunakan dalam kiriman e-mail phishing.
Encoder
Pada triwulan ke-2 tahun 2025 jumlah permohonan dekripsi file yang terkena program encoder trojan menurun 14,65% dibandingkan triwulan pertama.
Dinamika permohonan dekripsi yang masuk ke layanan dukungan teknis Doctor Web:

Encoder yang paling sering ditemukan pada triwulan ke-2 tahun 2025:
Trojan.Encoder.35534 — 24.41% permohonan pelanggan
Trojan.Encoder.35209 — 4.41% permohonan pelanggan
Trojan.Encoder. 29750 — 2.71% permohonan pelanggan
Trojan.Encoder. 35067 — 2.71% permohonan pelanggan
Trojan.Encoder.41868 — 2.71% permohonan pelanggan
Penipuan online
Selama triwulan ke-2 tahun 2025 para analis Internet dari Doctor Web mengidentifikasi banyak situs web palsu yang seolah-olah berkaitan dengan bidang pendidikan. Antara lain terdapat banyak situs web yang menawarkan pelatihan profesi tertentu. Misalnya, platform SMM Academy dan LearnIT KZ yang ditujukan pada pengguna asal Kazakhstan seolah-olah memberi kesempatan pada penggunanya untuk "menguasai profesi manajer SMM dalam 3 bulan" dan "menjadi analis data."
Di situs web lain calon korban dijanjikan dapat mengakses berbagai kursus. Di antaranya ada kursus bahasa Inggris dan kursus keterampilan manajemen modal, masing-masing dari "platform" EnglishPro dan FinCourse:
Sedangkan situs penipuan dari layanan yang disebut “Pendidikan Keuangan” seolah-olah dapat membantu meningkatkan literasi keuangan – situs web ini menawarkan pengunjungnya untuk “menguasai keuangan mereka dan mengamankan masa depannya”:
Untuk “mengakses” layanan yang diiklankan, situs-situs tersebut mengharuskan pengguna mendaftar dengan mencantumkan data pribadinya termasuk nama, nomor telepon seluler, alamat e-mail dll. Data-data tersebut terkumpul di tangan para penjahat dan nantinya dapat digunakan dalam berbagai skema penipuan.
Pada saat yang sama, telah muncul situs web penipuan baru yang mengatasnamakan proyek investasi palsu, yang sering kali disajikan oleh penjahat siber seolah-olah ada hubungan dengan perusahaan dan layanan terkenal. Misalnya, di salah satu situs web tersebut pengguna ditawari untuk ikut serta dalam proyek inovatif berdasarkan teknologi kecerdasan buatan. Situs ini mengatasnamakan layanan dari perusahaan mobil Audi dan berpura-pura membuka akses perdagangan mata uang kripto secara otomatis dan pendapatan tinggi yang terjamin. Untuk "mengakses" layanan tersebut, diperlukan penyetoran dana awal sebesar €250.
"Proyek investasi" lainnya seolah-olah terkait dengan jejaring sosial TikTok. Pengunjung situs penipuan tersebut diminta untuk mengikuti survei singkat, setelah itu mereka diminta untuk memberikan data pribadi untuk mendaftar dan mengakses layanan yang dijanjikan:
Selain itu, ditemukan situs penipuan baru yang menyamar sebagai situs web resmi WhatsApp Messenger. Di salah satunya pengunjung ditawari untuk mendapat koin digital yang masing-masing "menghasilkan €15 per hari untuk pemiliknya." Pengguna dijanjikan akan memiliki akses 160 koin, tetapi untuk mulai "menghasilkan uang dari koinnya" ia harus mendaftarkan akun dengan memasukkan data pribadinya. Kenyataannya, calon korban tidak menerima aset digital apa pun, dan datanya berada di tangan para penipu.
Situs WhatsApp palsu lainnya seolah-olah memberikan akses ke bot perdagangan baru berdasarkan sejumlah teknologi unik. Pengguna disarankan untuk "membuka WhatsApp Bot dan mendapat uang secara otomatis." Untuk melakukan ini mereka biasanya diminta untuk mendaftar pakai data pribadi yang kemudian disampaikan kepada penyerang.
Penipu juga menargetkan pengguna dari negara tertentu. Misalnya, warga Rusia dapat menemukan situs yang menawarkan "mewujudkan impian mereka" bersama layanan investasi tertentu. Para penyerang menggunakan template yang sama untuk mendesain situs tersebut dengan hanya mengubah tampilannya, serta nama platform yang tidak ada.
Perlu dicatat bahwa situs web yang menggunakan template yang sama juga dibuat untuk warga negara lain, misalnya Uzbekistan:
Salah satu situs penipuan yang terdeteksi memikat pengguna berbahasa Rusia yang tinggal di Eropa. Di situs tersebut para penjahat siber menjanjikan pendapatan pasif hingga €1.000 per minggu kepada calon korban "menggunakan solusi keuangan generasi baru yang inovatif" dari sebuah platform LevelUPTrade:
Pengguna asal Prancis dapat menjadi korban penyerang yang menawarkan akses ke perangkat lunak perdagangan otomatis palsu TraderAI yang seolah-olah membantu calon korban memperoleh penghasilan €3.500 ke atas:
Bagi penduduk Meksiko, para penipu juga telah menyiapkan "sistem perdagangan cerdas" bernama QuantumIA. Ini adalah salah satu versi dari sistem perdagangan palsu yang terkenal yaitu Quantum System atau QuantumAI yang seolah-olah memungkinkan pengguna ikut dalam perdagangan otomatis di pasar keuangan menggunakan komputasi kuantum dan teknologi kecerdasan buatan.
Di situs web lain para penipu mengatasnamakan sebuah bank besar dan menawarkan layanan investasi kepada para pengguna asal Meksiko dengan menjanjikan peluang untuk mendapatkan 16.000 peso Meksiko dalam waktu singkat setelah pendaftaran. Untuk melakukannya pengguna harus mengisi data pribadinya.
Pengguna asal Jerman berisiko menjadi korban platform perdagangan palsu Lucrosa Infinity yang bentuknya sudah sering digunakan oleh penjahat siber dengan berbagai cara selama beberapa tahun. Di salah satu situs penipuan para penyerang menawarkan untuk "mulai berinvestasi dan membuka pintu menuju kemandirian finansial":
Warga Kanada juga ditawari layanan "unik" oleh penjahat siber yang seolah-olah memberikan penghasilan tinggi melalui investasi dan perdagangan mata uang kripto. Misalnya, situs penipuan yang terdeteksi mengiklankan "platform" seperti BitcoinFusionPro dan BitcoinReaction. Platformnya berpura-pura membiarkan pelanggan memperoleh penghasilan mulai dari 1.000 dolar Kanada per hari dengan berinvestasi "hanya" 350 dolar:
Warga Polandia juga menghadapi situs palsu serupa. Di salah satu situsnya penipu menjanjikan calon korban bisa memperoleh penghasilan $950 sampai dengan $2.200 dalam sehari dengan "perangkat lunak manajemen mata uang kripto tercanggih di dunia":
Situs lain menawarkan berinvestasi €250 dan mendapatkan €700 setiap hari:
Salah satu situs penipuan menjanjikan kepada pengguna Polandia "kesempatan untuk work from home dan memperoleh penghasilan yang layak" dengan sistem Click Money otomatis. Dengan sistem ini orang-orang tanpa pengalaman berdagang seolah-olah dapat memperoleh hingga 64.000.000 zloty Polandia per tahun:
Perangkat lunak yang berbahaya dan tidak diinginkan untuk perangkat mobile
Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-2 tahun 2025 yang paling sering ditemukan adalah trojan iklan Android.HiddenAds. Dibandingkan triwulan sebelumnya trojan tersebut agak jarang dihadapi pelanggan. Berikutnya adalah trojan iklan Android.MobiDash yang aktivitasnya meningkat, dan malware berbentuk program palsu Android.FakeApp yang aktivitasnya menurun.
Di antara trojan bank tercatat dinamika yang berbeda-beda. Misalnya, tercatat peningkatan jumlah serangan dari kelompok Android.Banker. Pada saat yang sama, trojan dari kelompok Android.BankBot dan Android.SpyMax lebih jarang terdeteksi pada perangkat yang dilindungi.
Pada triwulan ke-2 di firmware sejumlah model smartphone Android para ahli Doctor Web telah menemukan trojan Android.Clipper.31. Malware ini disembunyikan dalam versi messenger WhatsApp yang dimodifikasi oleh penyerang dan digunakan untuk mencuri mata uang kripto dari pemilik perangkat yang terkena. Selain itu, para analis virus kami mendeteksi malware Android.Spy.1292.origin. Para penjahat siber menyembunyikannya dalam salah satu versi perangkat lunak pemetaan Alpine Quest dan menggunakannya untuk memata-matai personel militer Rusia.
Selama 3 bulan terakhir puluhan ancaman ditemukan di katalog Google Play. Di antaranya ada malware berbentuk program palsu Android.FakeApp dan adware baru yang tidak diinginkan Adware.Adpush.21912.
Kejadian utama yang berkaitan dengan keamanan “mobile” pada triwulan ke-2:
Aktivitas trojan iklan Android.HiddenAds menurun
Aktivitas trojan iklan Android.MobiDash meningkat
Trojan bank Android.Banker lebih sering terdeteksi
Jumlah serangan dari trojan bank Android.BankBot dan Android.SpyMax menurun
Temuan trojan yang ditujukan untuk mencuri mata uang kripto di firmware beberapa model smartphone Android
Deteksi trojan spy yang ditujukan untuk memata-matai personel militer Rusia
Munculnya ancaman baru di katalog Google Play