1 Oktober 2025

Berdasarkan statistik deteksi antivirus Dr.Web, pada triwulan ke-3 tahun 2025 total jumlah ancaman yang ditemukan menurun 4,23% dibandingkan triwulan ke-2. Sedangkan jumlah ancaman unik meningkat 2,17%. Yang paling sering terdeteksi pada perangkat yang dilindungi adalah adware yang tidak diinginkan, trojan iklan dan script berbahaya. Dalam traffic e-mail ancaman yang paling sering ditemukan adalah script berbahaya, backdoor dan berbagai program trojan termasuk trojan downloader, dropper dan pencuri password.

Para pengguna yang filenya terkena trojan encoder paling sering menghadapi encoder Trojan.Encoder.35534, Trojan.Encoder.35209 dan Trojan.Encoder.35067.

Pada bulan Juli analis virus Doctor Web menginformasikan adanya kelompok trojan Trojan.Scavenger yang diciptakan untuk mencuri mata uang kripto dan password. Para penyerang menyebarkannya dengan cara disamarkan sebagai mod, cheat dan patch untuk game. Trojan ini diluncurkan dengan menggunakan aplikasi yang sah termasuk dengan memanfaatkan kerentanannya kelas DLL Search Order Hijacking.

Pada bulan Agustus para analis virus kami memperingatkan penyebaran backdoor multifungsi Android.Backdoor.916.origin untuk perangkat seluler yang menargetkan pebisnis Rusia. Penjahat siber mengendalikannya dari jarak jauh dan menggunakannya untuk mencuri data rahasia dan memata-matai korbannya.

Pada bulan yang sama laboratorium antivirus Doctor Web menerbitkan studi tentang serangan tertarget oleh kelompok Scaly Wolf terhadap sebuah perusahaan teknik mesin Rusia. Para penyerang menggunakan berbagai alat berbahaya termasuk backdoor modular Updatar sebagai alat dasar. Mereka menggunakannya untuk mencoba mendapat data rahasia dari komputer yang diserang.

Pada triwulan ke-3 para analis Internet menemukan website messenger Telegram palsu yang baru, serta sejumlah website penipu bertema keuangan. Selain itu, selama tiga bulan terakhir para spesialis kami telah mencatat munculnya puluhan aplikasi berbahaya dan tidak diinginkan di katalog Google Play, termasuk trojan Android.Joker yang membuat penggunanya berlangganan layanan berbayar, dan program palsu Android.FakeApp.

Trend utama triwulan ke-3

• Penurunan jumlah ancaman yang ditemukan pada perangkat yang dilindungi

• Peningkatan jumlah ancaman unik yang digunakan untuk menyerang pengguna

• Munculnya website messenger Telegram palsu yang baru serta website penipu bertema keuangan

• Penyebaran aplikasi malware Trojan.Scavenger yang mencuri mata uang kripto dan password

• Penggunaan backdoor Android.Backdoor.916.origin untuk memata-matai pebisnis Rusia dan mencuri data rahasia

• Trojan iklanAndroid.MobiDash menjadi ancaman yang paling sering terdeteksi pada perangkat Android

• Penurunan aktivitas trojan iklan Android.HiddenAds yang terjadi selama dua triwulan berturut-turut

• Penyebaran banyak ancaman dalam katalog Google Play

•  

Berdasarkan data layanan statistik Doctor Web

Perangkat lunak berbahaya dan iklan yang paling sering ditemukan

berdasarkan data layanan statistik Doctor Web

Triwulan ke-2 tahun 2025   Triwulan ke-3 tahun 2025

Ancaman yang paling sering terdeteksi pada triwulan ke-3 tahun 2025:

• VBS.KeySender.7

  Script berbahaya yang dalam siklus tak berujung mencari jendela berisi teks [string]mode extensions[/string], [string]разработчика[/string] dan [string]розробника[/string] dan mengirim kepadanya kejadian menekan tombol Escape untuk menutupnya secara paksa.

   

• Adware.Downware.20091

  Adware yang menjadi perantara dalam instalasi program bajakan.

   

• Trojan.Siggen31.34463

  Trojan yang dibuat dalam bahasa pemrograman Go dan ditujukan untuk mengunduh berbagai solusi penambang dan adware ke dalam sistem yang dijadikan target. Malware ini berupa file DLL yang terletak di [string]%appdata%\utorrent\lib.dll[/string]. Untuk peluncuran malware ini memanfaatkan kerentanan kelas DLL Search Order Hijacking pada klien torrent uTorrent.

   

• Adware.Ubar.20

  Klien torrent yang menginstal software yang tidak diinginkan pada perangkat.

   

• JS.Siggen5.44590

  Kode berbahaya yang ditambahkan ke dalam JavaScript-library publik es5-ext-main. Memperlihatkan pesan tertentu apabila paket telah diinstal di server dengan zona waktu kota-kota Rusia.

   

Statistik program berbahaya dalam traffic e-mail

Program berbahaya 

yang paling sering ditemukan dalam traffic e-mail

Triwulan ke-2 tahun 2025   Triwulan ke-3 tahun 2025

• W97M.DownLoader.2938

  Sekelompok trojan downloader yang memanfaatkan kerentanan dokumen Microsoft Office. Trojan ini digunakan untuk download program berbahaya yang lain pada komputer yang diserang.

• Exploit.CVE-2017-11882.123

• Exploit.CVE-2018-0798.4

  Exploit yang digunakan untuk memanfaatkan kerentanan software Microsoft Office, yang memungkinkan eksekusi kode sembarangan.

• JS.Phishing.745

  Script JavaScript berbahaya yang membuat halaman web phishing.

   

• JS.Muldrop.371

Script JavaScript berbahaya yang menginstal payload pada sistem.

Encoder

Pada triwulan ke-3 tahun 2025 jumlah permohonan dekripsi file yang terkena program encoder trojan meningkat 3,02% dibandingkan triwulan ke-2.

Dinamika permohonan dekripsi yang masuk ke layanan dukungan teknis Doctor Web:
 

Encoder yang paling sering ditemukan pada triwulan ke-3 tahun 2025:

• Trojan.Encoder.35534 — 26.99% permohonan pelanggan

• Trojan.Encoder.35209 — 3.07% permohonan pelanggan

• Trojan.Encoder.35067 — 2.76% permohonan pelanggan

• Trojan.Encoder.41542 — 2.15% permohonan pelanggan

• Trojan.Encoder.29750 — 1.84% permohonan pelanggan

   

Penipuan online

Pada triwulan ke-3 para analis Internet Doctor Web kembali mendeteksi munculnya website messenger Telegram yang palsu, termasuk website yang digunakan penyerang dalam upaya untuk mendapat akses akun pengguna:
 

Selain itu, website penipu bertema keuangan kembali merajalela. Salah satunya memikat pengguna ke Apple Trade AI, sebuah "platform investasi masa depan" yang seolah-olah diciptakan oleh korporasi Apple. Para penjahat siber menjanjikan kepada calon korbannya kesempatan untuk mendapatkan lebih dari $4.000 per bulan dan mengharuskan mereka untuk mendaftar dan mengisi data pribadinya untuk "mengakses" layanan tersebut.

Website lainnya menawarkan partisipasi dalam "platform investasi baru Meta" untuk "membuka jalur pendapatan tetap sebesar $4.000 per bulan" (Meta diakui sebagai organisasi ekstremis di Federasi Rusia dan dilarang). Untuk mendapatkan akses "platform" tersebut, pengunjung website ini diharuskan untuk mengikuti survei dan mendaftar.

Para ahli kami juga mendeteksi jenis platform investasi palsu yang baru yang seolah-olah menawarkan kesempatan untuk meraih keuntungan dengan menggunakan bot perdagangan di WhatsApp.

Untuk “menggunakan” layanan yang dijanjikan para calon korban diminta mengisi data pribadinya:

Sejumlah website penipu menargetkan pengguna di negara-negara tertentu. Beberapa di antaranya menargetkan pengguna dari CIS dengan penawaran untuk "membuka pasar investasi tertutup" dan mendapatkan akses investasi eksklusif tertentu melalui layanan keuangan INSIDER X. Untuk melakukannya pengunjung diharuskan "mengajukan permintaan" dengan mengisi data pribadinya.

Dalam salah satu skema yang menargetkan pengguna Rusia, para penyerang menawarkan opsi untuk mengikuti survei dan mendapatkan akses "platform investasi" yang seolah-olah terkait dengan perusahaan migas besar dan portal pemerintah Gosuslugi:

Website penipu lain menyamar sebagai layanan perbankan Rusia yang asli dan menawarkan pendaftaran untuk "mendapatkan 50.000 rubel seminggu":

Warga beberapa negara lain juga mengalami penipuan serupa. Di salah satu website para penipu menawarkan kesempatan kepada pengguna di Kirgizstan untuk bergabung dengan program populer dan berinvestasi di perusahaan yang mereka klaim sebagai perusahaan terbesar di negara tersebut:

Website lain seolah-olah memiliki hubungan dengan bank Georgia dan mengajak orang untuk bergabung dengan “platform investasinya”:

Para penipu menyamarkan website palsu serupa seolah-olah dimiliki bank Kazakhstan dan menjanjikan pendapatan sebesar 60.000 tenge per bulan kepada para penggunanya:

Di salah satu website penipu yang mengaku bertindak atas nama perusahaan minyak dan gas asal Turki menawarkan kepada calon korbannya kesempatan untuk menjadi anggota platform investasi dan mendapatkan "hingga 9.000 lira Turki per hari":

Pada saat yang sama, para penipu terus memanfaatkan berbagai isu terkait pembayaran dan skema kompensasi pemerintah. Di sebuah website yang tidak diinginkan yang menargetkan pengguna di Kazakhstan, pengunjung dijanjikan dapat mengecek apakah mereka mendapat kompensasi keuangan dan menerima hingga 5.000.000 tenge:

Cari tahu lebih banyak tentang situs web yang tidak direkomendasikan Dr.Web

Perangkat lunak yang berbahaya dan tidak diinginkan untuk perangkat mobile

Berdasarkan data statistik deteksi Dr.Web Security Space untuk perangkat mobile, pada triwulan ke-3 tahun 2025 yang paling sering dihadapi pengguna adalah trojan iklan Android.MobiDash. Sedangkan jumlah trojan Android.HiddenAds yang paling sering terdeteksi pada periode sebelumnya berkurang sehingga menempati urutan kedua. Urutan ketiga ditempati program malware palsu Android.FakeApp.

Dibandingkan triwulan ke-2 jumlah trojan bank Android.BankBot meningkat, sedangkan jumlah trojan Android.Banker dan Android.SpyMax menurun.

Pada bulan Agustus para ahli Doctor Web menginformasikan tentang backdoor multifungsi Android.Backdoor.916.origin yang digunakan oleh para penyerang untuk mencuri data rahasia dan memata-matai pebisnis Rusia.

Selama 3 bulan terakhir terdapat lebih dari 70 malware dan program yang tidak diinginkan di katalog Google Play. Di antaranya ada trojan Android.Joker yang membuat pengguna berlangganan layanan berbayar, program palsu Android.FakeApp dan software Program.FakeMoney.16 yang seolah-olah memungkinkan mengubah hadiah virtual menjadi uang yang nyata.

Kejadian utama yang berkaitan dengan keamanan “mobile” pada triwulan ke-3:

• Aktivitas trojan iklan Android.MobiDash meningkat

• Aktivitas trojan iklan Android.HiddenAds menurun

• Aktivitas trojan bank Android.BankBot meningkat

• Jumlah serangan trojan bank Android.Banker dan Android.SpyMax menurun

• Backdoor multifungsi Android.Backdoor.916.origin yang digunakan oleh para penyerang untuk memata-matai pebisnis Rusia

• Penyebaran ancaman dalam jumlah yang banyak di katalog Google Play