Эксперты «Лаборатории Касперского» опубликовали итоговый отчет по угрозам для мобильных устройств за 2025 год. Всего за прошлый год было предотвращено более 14 миллионов атак с использованием вредоносного или рекламного ПО. Было обнаружено около 815 тысяч вариантов вредоносных программ, из которых 255 тысяч относились к банковским троянам. Большая часть вредоносного ПО относится к классу Adware (62%) и RiskTool (19%), троянские программы составили чуть больше 17% от общего количества зловредов, банковские трояны — 9%. При этом, по сравнению с 2024 годом, количество вредоносных программ, наносящих реальный урон, выросло, а доля нежелательного рекламного ПО снизилась.
Отдельный интерес представляют приведенные в отчете примеры неординарного вредоносного ПО, обнаруженного в 2025 году. Это, например, выявленный в конце 2025 года бэкдор Keenadu, который встраивался прямо в прошивки ряда поддельных Android-смартфонов. В отчете также отмечен IoT-ботнет Kimwolf ( обзор на китайском языке), нацеленный на приставки Android TV. Зараженные устройства в дальнейшем использовались для проведения DDoS-атак.
В публикации также упоминается троян-шпион LunaSpy. Эта вредоносная программа маскируется под антивирусное ПО и может воровать пароли из браузеров, читать сообщения из мессенджеров, логи SMS и звонков. В основном этот зловред был нацелен на российских пользователей.
В индивидуальном рейтинге вредоносных пакетов (исключая категорию Adware) лидером стали варианты ПО Triada. Как и Keenadu, это троянская программа часто встраивается в прошивку дешевых, часто поддельных Android-устройств, доступных на различных маркетплейсах. Другой вариант распространения версий Triada — в виде вредоносной модификации популярных мессенджеров. В рейтинг наиболее распространенных программ также попали варианты Fakemoney. Эти скам-приложения либо предлагают выгодно инвестировать средства, либо обещают получение выплат. В TOP 10 также попал банковский троян Mamont.
Набор типовых мобильных угроз зависит также от региона. Например, в Турции пользователи чаще всего подвергались атакам банковских троянов. В Индии вредоносное ПО Rewardsteal похищало платежные данные под предлогом раздачи денег. В Германии троянская программа маскировалась под приложение со скидками для популярной сети магазинов и использовала зараженный смартфон в качестве прокси-сервера. В Бразилии часто фиксировались атаки троянов, перенаправлявших пользователей либо на фишинговые страницы, либо на сайты нелегальных казино.
Главной тенденцией в сфере мобильных угроз стал серьезный рост количества новых банковских троянов и их доли в общем объеме обнаруживаемых вредоносных программ. Хотя рекламное ПО по-прежнему составляет основную массу мобильных вредоносных программ, все чаще пользователи подвергаются риску кражи реальных средств с банковского счета. Нельзя не отметить и развитие тенденции на встраивание троянского ПО «с завода». В этой категории не только появляются новые варианты вредоносных программ. Они обнаруживаются достаточно часто, чтобы подняться на высокие позиции в антирейтинге популярных зловредов.
Что еще произошло
Еще один регулярный отчет «Лаборатории Касперского» исследует эволюцию уязвимостей в ПО и эксплойтов за четвертый квартал 2025 года.
Компания Anthropic использовала собственного ИИ-ассистента Claude Opus 4.6 для обнаружения 22 уязвимостей в браузере Firefox ( отчет Anthropic, блог-пост Mozilla). Использование LLM для поиска уязвимостей является достаточно противоречивой сферой деятельности: в то время как одни говорят о новых возможностях, другие жалуются на необходимость разбирать десятки бредовых, но аккуратно оформленных отчетов о несуществующих уязвимостях. В Anthropic подошли к задаче максимально ответственно. ИИ был обучен на базе известных (и закрытых) уязвимостей в Firefox. Затем были проанализированы более шести тысяч файлов с исходным кодом браузера. В результате были сформированы 112 отчетов, которые перед отправкой разработчикам Firefox были проверены специалистами Anthropic вручную.
Отдельным интересным моментом стало упражнение по созданию эксплойтов для обнаруженных уязвимостей. К этой задаче было выполнено более сотни подходов, на которые сторонний пользователь Claude потратил бы более 4 тысяч долларов. В результате только в двух случаях ИИ-ассистенту удалось создать рабочий эксплойт. Это был бы неплохой результат сам по себе, но надо понимать, что задача была максимально облегчена — в браузере для проведения теста были выключены все средства защиты, в первую очередь — «песочница» для веб-страниц. История создания эксплойта для одной из уязвимостей подробно описана здесь. Вывод: ИИ может быть полезным инструментом для исследования защищенности ПО, но без опытного специалиста, способного оценить результат и довести работу до конца, пока обойтись не получится.
Microsoft опубликовала свежий отчет об использовании ИИ-сервисов во вредоносных целях. Выводы в отчете мало отличаются от предыдущих подобных исследований: ассистенты задействуются на всех стадиях кибератак, от разведки до создания вредоносного кода.
Компания Push Security пишет о новом варианте атаки ClickFix, которую они назвали InstallFix. Атака нацелена на умеренно подкованных пользователей, которые на более тривиальные методы, скорее всего, не отреагируют. Через рекламу в Google распространяется ссылка на поддельную страницу, являющуюся почти полной копией веб-сайта ИИ-ассистента Claude Code. Единственное отличие: строчка кода для инсталляции набора инструментов Claude Code для командной строки, которая загружает и выполняет троянскую программу. К этой же категории можно отнести сообщение о распространении вредоносного кода под видом персонального ассистента OpenClaw.
Раздел Википедии Meta-Wiki на прошлой неделе подвергся акту вандализма в результате загрузки и выполнения вредоносного кода JavaScript.
Критическая уязвимость обнаружена в ПО для управления хелпдеском FreeScout. Проблема позволяет удаленно выполнить на подверженном сервере произвольный код без аутентификации, просто отправив «в саппорт» письмо с подготовленным аттачем.
