Doctor Web: informe de la actividad de virus en el año 2025

15 de enero de 2026

En 2025, algunas de las amenazas más activas fueron los troyanos diseñados para visualizar publicidad. Los usuarios también se enfrentaron a varios scripts maliciosos y aplicaciones troyanas que ejecutan otro malware en los sistemas infectados. En el tráfico de correo electrónico se detectaron con mayor frecuencia los programas troyanos descargadores, backdoors, exploits, scripts maliciosos y documentos de phishing.

Entre las amenazas móviles, las más populares fueron los troyanos publicitarios y los programas falsos utilizados en distintos esquemas de fraude. Asimismo, se observó un aumento de la actividad de los troyanos bancarios. Al mismo tiempo, los analistas de virus de Doctor Web descubrieron decenas de nuevos programas maliciosos, no deseados y publicitarios en el catálogo de Google Play.
En comparación con 2024, se redujo el número de solicitudes de los usuarios para el descifrado de archivos. Al mismo tiempo, a lo largo del año nuestros analistas de Internet registraron un aumento del número de sitios web fraudulentos creados para robar las cuentas de los usuarios del messenger Telegram. Además, volvieron a proliferar sitios web no deseados de temática financiera.

En 2025, el laboratorio antivirus de Doctor Web investigó varios ataques dirigidos, uno de los cuales se perpetró contra una empresa rusa de ingeniería mecánica. En el transcurso del ataque, los delincuentes utilizaron una serie de aplicaciones maliciosas con las que intentaban obtener datos confidenciales de los ordenadores infectados. Nuestros expertos detectaron que el grupo de hackers Scaly Wolf estuvo implicado en el ataque. Otro incidente afectó a una institución estatal rusa, que fue atacada por el grupo Cavalry Werewolf. Los analistas de malware de Doctor Web identificaron múltiples herramientas maliciosas utilizadas por los atacantes, y también analizaron las características del grupo y las acciones que le son propias dentro de las redes comprometidas.
A lo largo de 2025, la empresa Doctor Web también informó sobre otros incidentes de seguridad de la información. En enero, nuestro laboratorio antivirus detectó una campaña activa de minería de la criptomoneda Monero, organizada mediante el uso de múltiples tipos de malware. En abril, informamos asimismo sobre un troyano detectado en el firmware de varios modelos de smartphones Android, con cuya ayuda los ciberdelincuentes robaban criptomonedas. Además, ese mismo mes, nuestros expertos detectaron un troyano para Android que los atacantes habían integrado en una de las versiones de una popular aplicación de cartografía y que utilizaban para espiar a militares rusos.

En julio, los expertos de Doctor Web informaron sobre una nueva familia de troyanos creada para robar criptomonedas y contraseñas. Los delincuentes los distribuían haciéndolos pasar por mods, trucos y parches para juegos. En agosto, los analistas de malware advirtieron sobre la propagación de un backdoor multifuncional para dispositivos móviles, dirigido a representantes del sector empresarial ruso. Los ciberdelincuentes lo controlaban de forma remota, robando con su ayuda datos confidenciales y vigilando a las víctimas.
En octubre, informamos sobre un backdoor para dispositivos Android que los ciberdelincuentes propagaban como parte de versiones modificadas del messenger Telegram X. Este malware roba los nombres de usuario y contraseñas de las cuentas de Telegram, así como otros datos confidenciales. Con su ayuda, los creadores de malware pueden administrar las cuentas comprometidas de las víctimas y controlar por completo el propio mensajero, realizando diversas acciones en nombre de los usuarios.
En diciembre, publicamos en nuestro sitio web un material sobre un troyano que “infla” la popularidad de los sitios web y, para ello, se hace pasar por una persona, de modo que sus acciones no sean bloqueadas por los sistemas antibot de las plataformas en línea. El malware busca de forma autónoma los sitios necesarios en los motores de búsqueda, los abre y realiza clics en las páginas web de acuerdo con los parámetros recibidos de los atacantes.
En 2025 también se observó un aumento de la popularidad de los ataques ClickFix, en los que los delincuentes utilizan técnicas de ingeniería social para que los propios usuarios ejecuten código malicioso en sus dispositivos.

Los eventos más destacados del año 2025

En enero de 2025, los especialistas de Doctor Web detectaron una campaña de minería de la criptomoneda Monero que utilizaba el miner malicioso SilentCryptoMiner. Sus archivos estaban camuflados como distintos tipos de software, por ejemplo, programas para realizar videollamadas. Al infectar los ordenadores, eliminaban otros mineros que pudieran haberse instalado previamente en el sistema. En el marco de esta campaña, los atacantes emplearon esteganografía para distribuir algunos componentes maliciosos, una técnica que permite ocultar unos datos entre otros (por ejemplo, en imágenes). Tras descargar imágenes creadas de forma especial, los componentes correspondientes de SilentCryptoMiner se extraían de ellas y se ejecutaban.

En abril, nuestros analistas de malware informaron sobre el troyano Android.Clipper.31, detectado en el firmware de varios modelos económicos de smartphones Android. Los atacantes lo integraron en una versión modificada del mensajero WhatsApp, que posteriormente preinstalaron en los dispositivos, comprometiendo la cadena de suministro de algunos fabricantes. Android.Clipper.31 intercepta los mensajes enviados y recibidos en el messenger, busca en ellos direcciones de monederos de criptomonedas Tron y Ethereum y las sustituye por direcciones pertenecientes a los ciberdelincuentes. Al mismo tiempo, el troyano oculta la sustitución, de modo que las víctimas ven en los mensajes direcciones de monederos aparentemente correctas.

Ese mismo mes, los expertos de Doctor Web descubrieron el troyano para Android Android.Spy.1292.origin, que los atacantes habían introducido en una de las versiones de la aplicación cartográfica Alpine Quest y que utilizaban para espiar a militares rusos. La aplicación maliciosa recopilaba información confidencial y permitía a los atacantes robar archivos de los dispositivos infectados.

En julio, en el sitio web de la empresa Doctor Web se publicó un material sobre los programas troyanos Trojan.Scavenger, diseñados para robar criptomonedas y contraseñas. Los delincuentes los distribuían haciéndolos pasar por mods, trucos y parches para juegos. Este malware se ejecutaba utilizando software legítimo, entre otros métodos mediante la explotación de vulnerabilidades de la clase DLL Search Order Hijacking.

En agosto, nuestros expertos informaron sobre la propagación del backdoor multifuncional Android.Backdoor.916.origin, dirigido contra representantes de empresas rusas. La aplicación maliciosa se distribuía bajo la apariencia de un antivirus a través de mensajes privados en mensajeros. Al llegar a los dispositivos objetivo, Android.Backdoor.916.origin recopilaba datos confidenciales y permitía a los atacantes vigilar a las víctimas.
Además, en agosto el laboratorio antivirus de Doctor Web publicó una investigación sobre un ataque dirigido del grupo Scaly Wolf contra una empresa rusa de ingeniería mecánica. Los ciberdelincuentes emplearon todo un conjunto de herramientas maliciosas, entre las cuales uno de los elementos principales fue el backdoor modular Updatar, que permitía a los atacantes recopilar información confidencial de los equipos infectados.

En octubre, los expertos de Doctor Web informaron sobre el backdoor Android.Backdoor.Baohuo.1.origin, integrado por los atacantes en versiones modificadas del messenger Telegram X. Android.Backdoor.Baohuo.1.origin roba los nombres de usuario y contraseñas de las cuentas de Telegram, así como otros datos confidenciales. Este malware permite a los delincuentes obtener el control total de la cuenta del usuario y administrar el messenger al realizar acciones en nombre de la víctima. Por ejemplo, los atacantes pueden unirse a canales de Telegram de forma no autorizada y abandonarlos, así como ocultar nuevos dispositivos autorizados en la interfaz de la versión troyana de Telegram X.

En noviembre, publicamos una investigación sobre un ataque dirigido del grupo de hackers Cavalry Werewolf contra una institución estatal rusa. Al analizar el incidente, los expertos de «Doctor Web» detectaron múltiples herramientas maliciosas utilizadas por los ciberdelincuentes, incluidas las herramientas de código abierto. Los analistas de malware analizaron las características del grupo y determinaron que sus miembros prefieren utilizar backdoors con funcionalidad de shell inverso y recurren con frecuencia a la API de Telegram para administrar los equipos infectados. Además, inician los ataques al enviar correos electrónicos de phishing supuestamente en nombre de organismos estatales y adjuntan malware, camuflado como varios documentos oficiales, a estos mensajes.

En diciembre, la empresa Doctor Web publicó un análisis del malware Trojan.ChimeraWire, que infla la popularidad de sitios web haciéndose pasar por una persona. El troyano busca los sitios necesarios en los motores de búsqueda Google y Bing, los abre y realiza clics en las páginas web cargadas de acuerdo con las tareas recibidas de los delincuentes. Trojan.ChimeraWire se instala en los ordenadores mediante una serie de programas maliciosos que explotan vulnerabilidades de la clase DLL Search Order Hijacking.

A lo largo de 2025 se observó un aumento de la popularidad de los ataques que utilizan el método ClickFix. Este consiste en que los atacantes recurren a la ingeniería social para inducir a las posibles víctimas, mediante engaños, a ejecutar por sí mismas código malicioso. Cuando los usuarios acceden a un sitio web malicioso o comprometido, este les informa de un supuesto error o de la necesidad de actualizar el navegador y les propone “solucionar” el problema. Para ello, según la variante del ataque, se pide a los usuarios que copien las líneas indicadas en la página o que simplemente pulsen el botón correspondiente (por ejemplo, «Actualizar» o «Corregir»). En este último caso, el contenido necesario se copia automáticamente en el portapapeles. A continuación, se les solicita que abran la línea de comandos o el terminal PowerShell, peguen allí el contenido del portapapeles y pulsen la tecla Enter. Como resultado, las víctimas ejecutan por sí mismas el código malicioso, que inicia la cadena de infección del ordenador. Para más información sobre los ataques ClickFix, puede consultar el material correspondiente en nuestro sitio web.

Los eventos de virus

Según las estadísticas de detección del antivirus Dr.Web, en 2025 el número total de amenazas detectadas aumentó un 5,45 % en comparación con 2024. Al mismo tiempo, el número de amenazas únicas se redujo un 15,89 %. Con mayor frecuencia, los usuarios afrontaron varios scripts maliciosos y troyanos publicitarios. Además, se propagaron los troyanos utilizados para ejecutar otro malware. Asimismo, los usuarios volvieron a verse amenazados por aplicaciones troyanas creadas en el lenguaje de scripting AutoIt, que se distribuyen como parte de otro malware con el fin de dificultar su detección.

VBS.KeySender.6

VBS.KeySender.7

Un script malicioso que en un ciclo infinito busca las ventanas con el texto mode extensions, разработчика y розробника y les envía un evento de pulsación del botón Escape, al cerrarlas de forma forzosa.

Trojan.BPlug.4242

Detección de un componente malicioso de la extensión del navegador WinSafe. Este componente es un script de JavaScript que visualiza publicidad importuna en navegadores.

Trojan.Starter.8319

Trojan.Starter.8326

Trojan.Starter.8332

Detección de scripts XML maliciosos que inician el troyano Trojan.AutoIt.289 y sus componentes.

JS.Siggen5.44590

Un código malicioso añadido a la biblioteca JavaScript pública, es5-ext-main. Visualiza un mensaje determinado si el paquete está instalado en el servidor con el huso horario de ciudades rusas.

Trojan.Siggen30.53926

Un proceso host del framework Electron modificado por los malintencionados, camuflado como componentes de la aplicación Steam (Steam Client WebHelper) que carga un backdoor en JavaScript.

JS.MalVpn.1

Un script malicioso usado por varios tipos de malware para conectarse a los servidores de control.

Trojan.Siggen31.34463

Un troyano creado en lenguaje de programación Go y destinado para cargar en el sistema objetivo varios miners y adware. El malware es un archivo DLL y está en %appdata%\utorrent\lib.dll. Para su inicio, usa la vulnerabilidad de la clase DLL Search Order Hijacking en el cliente torrent uTorrent.

En el tráfico de correo en el año 2025 con mayor frecuencia se detectaban los programas troyanos que descargaban e instalaban otro malware. Los malintencionados también propagaron a través de los mensajes electrónicos varios backdoors, exploits, documentos phishing y scripts maliciosos.

W97M.DownLoader.2938

Una familia de troyanos descargadores que usan las vulnerabilidades de los documentos Microsoft Office. Sirven para descargar otro malware al equipo atacado.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploits para usar vulnerabilidades en el software Microsoft Office, que permiten ejecutar un código aleatorio.

JS.Phishing.684

JS.Phishing.745

Un script malicioso en lenguaje JavaScript que genera una página web de phishing.

BackDoor.AgentTeslaNET.20

Un malware espía destinado a robar información confidencial. Por ejemplo, recopila y transmite a los atacantes nombres de usuario y contraseñas de numerosas aplicaciones, como navegadores, mensajeros, clientes de correo, bases de datos, etc. También roba datos del portapapeles, incorpora funcionalidad de keylogger y puede realizar capturas de pantalla (screenshots).

Win32.Expiro.153

Un virus de archivos que infecta archivos ejecutables de Windows. Su objetivo principal es robar contraseñas de varios programas.

JS.DownLoader.1225

Detección heurística para los archivos ZIP que contienen los scripts de JavaScript con nombres sospechosos.

Trojan.PackedNET.3223

Detección de malware protegido por un comprimidor.

Trojan.AutoIt.1413

Detección de la versión comprimida del programa troyano Trojan.AutoIt.289, creado en lenguaje de script AutoIt. Se propaga en un grupo de varios tipos de malware: un miner, un backdoor y un módulo para la propagación automática. Trojan.AutoIt.289 realiza varias acciones maliciosas que dificultan la detección de la carga útil básica.

Cifradores

En comparación con 2024, en 2025 el Servicio de soporte técnico de Doctor Web recibió un 35,98 % menos de solicitudes de usuarios que habían resultado afectados por troyanos cifradores. La dinámica del registro de solicitudes de descifrado de archivos se muestra en el gráfico siguiente.

Los cifradores más populares en el año 2025:

Trojan.Encoder.35534 (23,22% de solicitudes de usuarios)

Un cifrador también conocido como Mimic. Para buscar los archivos objetivo para el cifrado el troyano usa la biblioteca everything.dll del programa legal Everything destinada a la búsqueda instantánea de archivos en ordenadores con Windows.

Trojan.Encoder.35209 (3,33% de solicitudes de usuarios)

Cifrador basado en el código fuente del troyano encoder Conti. Cifra los archivos con el algoritmo ChaCha20. Tras la desmantelación de varios servidores de mando y control de los delincuentes y la revelación de claves privadas RSA de cifrado, para algunas modificaciones de este malware está disponible el descifrado de los archivos afectados.

Trojan.Encoder.35067 (2,50% de solicitudes de usuarios)

Cifrador conocido como Masor (una variante de este troyano es Trojan.Encoder.30572). Tiene un tamaño reducido, de unos 30–40 KB. Esto se debe en parte a que el troyano no incluye bibliotecas criptográficas de terceros y utiliza solo funciones de CryptoAPI para el cifrado y la generación de claves. Para cifrar los archivos emplea el algoritmo AES-256, y las propias claves se cifran con RSA-1024.

Trojan.Encoder.41868 (2,31% de solicitudes de usuarios)

Cifrador cuyos artefactos indican la implicación del grupo de hackers C77L en su creación.

Trojan.Encoder.29750 (2,13% de solicitudes de usuarios)

Un troyano extorsionista que tiene varias versiones. Sus modificaciones actuales cifran los archivos con un algoritmo AES-256+RSA.

Fraudulencias en la red

En 2025, los analistas de Internet de la empresa Doctor Web observaron un aumento del número de sitios de phishing creados para robar cuentas del messenger Telegram. Los delincuentes utilizaron varios esquemas, como páginas falsas de autenticación y autorización, así como mensajes fraudulentos supuestamente enviados por el servicio de soporte de Telegram, en los que se advertía de presuntas infracciones en el uso del messenger y de la necesidad de realizar una «verificación» de la cuenta, entre otros.

Un ejemplo de un sitio web phishing que informa de la necesidad de hacer una verificación de la cuenta de Telegram a causa de alguna infracción de los requisitos del uso del servicio

Los sitios web de este tipo también se crearon para usuarios de otros servicios, por ejemplo, plataformas de videojuegos, tiendas en línea, etc. Las falsificaciones podían parecer recursos web legítimos y ofrecían iniciar sesión en la cuenta. Si los usuarios caían en la trampa, los delincuentes averiguaban la información confidencial.

Un sitio web falso del servicio Steam visualiza un formulario phishing para introducir el nombre de usuario y la contraseña

Los usuarios volvieron a afrontar varias variantes de recursos fraudulentos en Internet que ofrecían todo tipo de regalos y bonificaciones, así como la participación en supuestas «promociones ventajosas». Se propagaron los sitios web falsos de marketplaces rusos, en los que los visitantes supuestamente podían participar en sorteos de premios. El «premio» estaba programado de antemano y, para poder «recibirlo», se exigía a la víctima realizar determinados pagos, por ejemplo, en concepto de un supuesto impuesto y, posteriormente, por el envío del producto y su seguro.
En otras variantes del esquema fraudulento, el producto deseado supuestamente no estaba disponible y se ofrecía en su lugar una compensación económica. Para «recibir» el dinero, el usuario también debía efectuar una serie de pagos, como una tasa, un seguro, etc. En ningún caso la víctima llegaba a recibir premio alguno.

Un ejemplo de un sitio web falso del marketplace que propone participar en un «sorteo de premios»

Otras variantes de este tipo de esquemas incluían sitios web falsos de empresas de transporte dirigidos a residentes del Reino Unido. En ellos se ofrecía participar en sorteos de tarjetas de transporte, supuestamente vinculadas a un determinado evento y que permitían utilizar gratuitamente el transporte público. Al «ganar el premio», los estafadores pedían a las víctimas que facilitaran sus datos personales y pagaran una pequeña «comisión».

Un sitio web fraudulento, supuestamente en nombre de una empresa de transporte, ofrece participar en un «sorteo de tarjetas»

Siguieron siendo relevantes todo tipo de sitios web fraudulentos de temática financiera. Entre los delincuentes volvieron a ser populares los recursos que ofrecían ganar dinero con operaciones en los mercados utilizando sistemas automatizados basados en supuestos algoritmos únicos y tecnologías de inteligencia artificial. Este tipo de sitios se crea con orientación a residentes de numerosos países. En la mayoría de los casos, solicitan datos personales para registrar una «solicitud» o una «cuenta», tras lo cual los estafadores averiguan esta información y la utilizan a su conveniencia. Posteriormente, pueden revender estos datos o continuar atrayendo a la posible víctima a un falso servicio de inversión, exigiendo el ingreso de dinero en una supuesta cuenta de «operaciones».

Uno de los sitios web fraudulentos que ofrecían acceso a una supuesta «plataforma de inversión» basada en tecnologías de inteligencia artificial afirmaba, de manera engañosa, estar vinculado a la corporación Apple

Muchos de estos sitios están construidos a partir de plantillas similares en forma de un chat falso con un «asistente virtual» o un «empleado» de una u otra empresa, supuestamente en cuyo nombre los estafadores se dirigen a la posible víctima. Se invita al usuario a responder a una serie de preguntas y, a continuación, a facilitar sus datos personales.

En uno de los sitios, los delincuentes ofrecían a usuarios de Francia acceder a un supuesto software de trading automatizado inexistente, TraderAI, que supuestamente permitía ganar a partir de 3 500€

Uno de los recursos promocionaba un servicio de inversión supuestamente basado directamente en el messenger Telegram. El sitio prometía ingresos de 10.000 € al mes mediante la compraventa automática de acciones de empresas internacionales «directamente desde el navegador del teléfono».

El sitio web fraudulento invita a unirse a una supuesta «plataforma Telegram», que supuestamente opera de forma autónoma en el mercado de acciones

Los delincuentes también ofrecían a las posibles víctimas ganar dinero mediante «bots de trading», supuestamente creados con la participación de grandes empresas y servicios como Telegram, WhatsApp, TikTok y otros.

Un ejemplo de un sitio web que proponía usar un bot de trading no existente que supuestamente tenía que ver con el messenger WhatsApp

A lo largo de 2025, nuestros analistas de Internet detectaron nuevos sitios web fraudulentos que ofrecían invertir en el sector del petróleo y el gas a usuarios de varios países, incluidos Rusia, los países de la CEI y Europa. En este tipo de sitios, en la mayoría de los casos, también se solicita a las posibles víctimas la información personal, como el nombre y los apellidos, el número de teléfono móvil, la dirección de correo electrónico, etc.

Un sitio web fraudulento, dirigido a ciudadanos de Kirguistán, les ofrece «ganar dinero con el petróleo y el gas», prometiendo elevados ingresos

Volvieron a aparecer los sitios web fraudulentos que ofrecían obtener «ayudas estatales» en forma de pagos o compensaciones. Por ejemplo, en el segmento ruso de Internet se difundieron los recursos fraudulentos que supuestamente estaban relacionados con el portal Gosuslugi.

Un ejemplo de un sitio web fraudulento que supuestamente estaba vinculado al servicio Gosuslugi y prometía a los usuarios rusos pagos regulares por parte del Estado y de una gran empresa del sector del petróleo y el gas. Para «participar» en el programa de pagos, se solicitaban a la víctima sus datos personales

Nuestros expertos también destacaron la aparición de nuevos sitios web falsos de proyectos educativos. En ellos se ofrecía a los usuarios realizar diversos cursos de formación para mejorar su educación financiera, aprender una u otra profesión, etc. Para obtener «acceso» a la formación, a las posibles víctimas, al igual que en muchos otros esquemas similares, también se les solicitaba la información personal.

Un sitio web fraudulento proponía aprender inglés

Los analistas de Internet de Doctor Web detectaron nuevos sitios web fraudulentos dedicados a la venta de entradas de teatro. En estos recursos, los estafadores ofrecen a las posibles víctimas adquirir entradas a precios atractivos, pero una vez realizado el «pago» los usuarios no las reciben.

Un ejemplo de un sitio web fraudulento que vendía entradas de teatro no existentes

Además, también se difundieron nuevos sitios web falsos de cines privados. Al igual que en el caso de las entradas de teatro, los estafadores ofrecen a las posibles víctimas comprar entradas de cine, pero al final estas solo entregan su dinero a los delincuentes.

Un sitio web falso de un cine privado

Para dispositivos móviles

Согласно статистике детектирований Dr.Web Security Space для мобильных устройств, в 2025 году пользовател y Android чаще всего сталкивались с рекламным y троянам y Android.MobiDash y Android.HiddenAds, así como el malware Android.FakeApp, que en vez de la funcionalidad declarada puede cargar varios sitios web, así mismo, los fraudulentos y maliciosos. Se destacó un crecimiento de actividad de aplicaciones troyanas Android.Triada. Son amenazas multifuncionales que los malintencionados incrustan en el firmware de dispositivos en Android. Además, se observó un crecimiento del número de ataques de troyanos bancarios Android.Banker. Al mismo tiempo la actividad de los bankers Android.SpyMax, al contrario, bajó.

El año pasado los creadores de virus siguieron usando varias técnicas de protección de malware para el SO Android. Una de ellas fue el método de conversión del código DEX al código C (conocido como DCC o DEX to C).

Las aplicaciones no deseadas más populares fueron los programas Program.FakeMoney. Ofrecen a los usuarios realizar varias tareas a cambio de recompensas virtuales y prometen la posibilidad de convertir dichas recompensas en dinero real. Sin embargo, en realidad no existe tal posibilidad. Además, en los dispositivos protegidos se detectaban con frecuencia las aplicaciones Program.FakeAntiVirus.1 y Program.CloudInject.1. Los primeros imitan el funcionamiento de los antivirus y detectan amenazas inexistentes, ofreciendo «eliminar» la infección mediante la compra de la versión completa del software. Los segundos son aplicaciones que han sido modificadas a través de un popular servicio en la nube. Durante la modificación, se les añaden permisos de sistema peligrosos y código ofuscado, cuya finalidad no puede controlarse.
Los programas modificados mediante la utilidad NP Manager (detectados como Tool.NPMod) se convirtieron en el software potencialmente peligroso más popular. Esta utilidad ofusca el código de las aplicaciones modificadas y permite esquivar la verificación de su firma digital. El tipo de adware más activo en 2025 fueron las modificaciones no oficiales de WhatsApp (Adware.ModAd.1), que abren automáticamente los enlaces publicitarios durante el uso del messenger.

En el año 2025 se detectaron nuevos casos de infección del firmware de dispositivos en Android. Nuestra empresa informó de uno de ellos en abril. Los malintencionados preinstalaron el malware Android.Clipper.31 en el área de sistema de algunos modeles de smartphones económicos y con el mismo robaban la criptomoneda de los usuarios. Otros atacantes consiguieron implementar los troyanos peligrosos Android.Triada en el firmware de otros modelos de smartphones en Android. Además, se registraron más casos de infección del firmware de consolas TV en Android con nuevas versiones del troyano Android.Vo1d, detectado por nuestra empresa en el año 2024.

Durante el año pasado el laboratorio antivirus de Doctor Web detectó algunos tipos de malware peligroso. En abril informamos sobre el troyano Android.Spy.1292.origin, que se ocultaba en una versión modificada por los creadores de malware de la aplicación cartográfica Alpine Quest y atacaba a militares rusos. Android.Spy.1292.origin transfería a los delincuentes los datos sobre el número de teléfono móvil y las cuentas del usuario, recopilaba los contactos de la agenda, la geolocalización del dispositivo infectado y la información sobre los archivos almacenados en él. También podía robar determinados archivos por orden de los atacantes. Estos se interesaban principalmente por documentos confidenciales transmitidos a través de messengers, así como por el archivo del registro de ubicaciones de la aplicación cartográfica Alpine Quest.

En agosto nuestros expertos advirtieron del backdoor Android.Backdoor.916.origin propagado por los malintencionados camuflado como un antivirus, a través de los mensajes personales en messengers. Android.Backdoor.916.origin roba la información privada y permite supervisar a los usuarios. El objetivo principal de este backdoor fueron los empleados de negocios rusos.

En octubre informamos sobre el backdoor multifuncional Android.Backdoor.Baohuo.1.origin, detectado por nuestros analistas de virus en las versiones modificadas del messenger Telegram X. Este malware también se usa para robar los datos privados, incluidos los nombres de usuario y contraseñas de Telegram, los SMS entrantes, la mensajería en Messenger y los datos del portapapeles. Así mismo, el backdoor permite a los malintencionados administrar el Messenger totalmente y controlar la cuenta hackeada de Telegram de la víctima. Para administrar el backdoor los ciberdelincuentes usaron tanto el servidor C2 como la base de datos Redis, lo cual no se detectaba anteriormente en amenazas en Android. Android.Backdoor.Baohuo.1.origin fue destinado sobre todo a los residentes de Indonesia y Brasil.

Para más información sobre los eventos de virus para dispositivos móviles en el año 2025 consulte nuestro informe.

Perspectivas y probables tendencias

En el nuevo año 2026, una de las amenazas más populares para los usuarios probablemente seguirá siendo la de los troyanos publicitarios, mediante los cuales los delincuentes obtienen ingresos ilícitos. Es previsible que los ciberdelincuentes recurran con mayor frecuencia a aplicaciones troyanas bancarias, que también les permiten lucrarse.
Es posible que continúe aumentando la popularidad de varias herramientas y métodos destinados a ocultar la actividad maliciosa. Entre ellos cabe destacar el uso de empaquetadores y ofuscadores, la utilización de malware tipo dropper y de cargadores multietapa, así como el empleo de esteganografía para ocultar la carga maliciosa. Además, en la creación de software malicioso, los ciberdelincuentes —incluidos aquellos con poca experiencia en programación— recurrirán cada vez más a asistentes basados en inteligencia artificial. Como resultado, surgirán nuevas familias de malware y el número de amenazas aumentará.
Los organismos públicos y las estructuras corporativas volverán a estar en el punto de mira, lo que dará lugar a nuevos ataques dirigidos. También son probables nuevos casos de infección del firmware de smartphones Android, decodificadores de TV y otros tipos de dispositivos móviles, especialmente en el segmento de bajo coste. La actividad de los estafadores en Internet se mantendrá.