2024年移动威胁全景透视:恶意软件演进与攻击趋势深度分析
这些统计数据基于卡巴斯基产品在征得用户同意后,通过卡巴斯基安全网络(KSN)收集的检测警报。由于2024年实施了数据和方法论修订,往年的统计数据可能与早期出版物有所不同。
年度数据概览
根据卡巴斯基安全网络数据,2024年:
- 共阻止了涉及恶意软件、广告软件或不受欢迎移动软件的3330万次攻击。
- 最常见的移动威胁——广告软件,占总检测量的35%。
- 共检测到 110万 个恶意和潜在有害的安装包,其中近 69,000 个与移动银行木马相关。
年度趋势
2024年,网络罪犯平均每月针对移动设备发起280万次恶意软件、广告软件或不希望软件攻击。总计,卡巴斯基产品在2024年阻止了33,265,112次攻击。
2024年卡巴斯基移动用户遭受的攻击情况
在2024年底,我们发现了一种针对俄罗斯安卓设备用户的Mamont银行木马新传播方案。攻击者以各种折扣商品引诱用户。受害者需要发送消息下单。一段时间后,用户会收到一个钓鱼链接,下载伪装成货运跟踪应用的恶意软件。
网络欺诈者聊天中的钓鱼链接
您的订单已发货。 42609775 您的订单追踪码。 您可以在手机应用中追踪您的订单:
https://.pilpesti573.ru/page/e5d565fdfd7ce追踪器
为了在收到货后支付您的订单,请在上面的应用中输入您的追踪码并等待订单详情加载。我们建议您在操作时保持应用开启。加载追踪码可能需要超过30分钟。
2024年8月,ESET的研究人员描述了一种在捷克共和国发现的新NFC银行诈骗。诈骗者使用钓鱼网站传播合法应用NFCGate的恶意修改版。他们以各种借口说服受害者将银行卡贴近手机背面进行NFC连接。卡片详细信息会泄露给诈骗者,后者随后进行小额非接触式支付或在ATM机取现。
后来在俄罗斯也发现了类似的方案,恶意软件伪装成银行和电子政务应用。有时会使用SpyNote RAT作为恶意软件加载器和NFC激活器。
假冒移动应用截图
请将卡片贴近NFC非接触式支付模块进行验证。 准备扫描
同样在2024年,我们检测到许多新的预装恶意应用,并赋予了Trojan.AndroidOS.Adinstall这一通用判定。另一个发现是在7月,在安卓电视盒子上发现了LinkDoor后门(也称为Vo1d),它位于受感染的系统应用程序com.google.android.services中。该恶意软件能够运行任意可执行文件、下载并安装任何APK文件。
除此之外,我们在Google Play上发现了几个应用,每个都包含一个名为“SparkCat”的恶意SDK植入程序,该程序至少在2024年3月就开始传播。尽管受感染的应用在2025年2月被商店删除,但我们的遥测数据显示,包含SparkCat的其他应用仍通过非官方渠道分发。
该SDK接收来自C2服务器的命令,包含用于在设备图库中搜索并外泄图像的关键词或字典列表。我们的数据表明,该木马主要针对阿拉伯联合酋长国、欧洲和亚洲的安卓用户,旨在窃取加密货币钱包的恢复助记词。
值得注意的是,同一iOS植入程序通过App Store分发,这使其成为首个已知潜入苹果官方应用市场的OCR恶意软件。苹果于2025年2月移除了受感染的应用。
移动威胁统计
2024年,我们发现了1,133,329个恶意和潜在有害的安装包。这一数字低于2023年,但降幅小于前一年。新的独立恶意软件安装包数量趋势似乎趋于平缓。
2021-2024年检测到的安卓特定恶意软件和不希望软件安装包
按类型划分的检测包
广告软件和风险工具(RiskTool)应用继续主导检测到的威胁类型排行榜。前者类别中,BrowserAd(22.8%)、HiddenAd(20.3%) 和 Adlo(16%) 家族的新安装包数量最多。风险工具份额的增长主要归因于Fakapp色情应用数量的增加。
2023-2024年遭受特定类型恶意软件或不需要软件攻击的用户占所有受攻击卡巴斯基移动用户的份额
银行木马与2023年相比上升了三位,占据第四位,仅次于通常的领先者:广告软件、木马和风险工具。
TOP 20 最常检测到的移动恶意软件类型
注意:以下恶意软件排名排除了风险软件和潜在有害应用,如广告软件和风险工具。
| 判定 | 2023份额* | 2024份额* | 差值(百分点) | 排名变化 |
|---|---|---|---|---|
| Trojan.AndroidOS.Fakemoney.v | 11.76 | 16.64 | +4.88 | +2 |
| DangerousObject.Multi.Generic. | 14.82 | 11.13 | –3.70 | –1 |
| Trojan.AndroidOS.Triada.ga | 0.00 | 6.64 | +6.64 | - |
| Trojan-Banker.AndroidOS.Mamont.bc | 0.00 | 5.36 | +5.36 | - |
| Trojan.AndroidOS.Boogr.gsh | 6.81 | 4.71 | –2.10 | –3 |
| Trojan.AndroidOS.Triada.fd | 1.16 | 4.45 | +3.29 | +19 |
| DangerousObject.AndroidOS.GenericML | 2.39 | 4.35 | +1.96 | +3 |
| Trojan-Downloader.AndroidOS.Dwphon.a | 0.77 | 3.59 | +2.82 | +26 |
| Trojan-Spy.AndroidOS.SpyNote.bz | 0.43 | 3.40 | +2.97 | +48 |
| Trojan-Spy.AndroidOS.SpyNote.bv | 0.37 | 2.69 | +2.32 | +57 |
| Trojan.AndroidOS.Fakeapp.hk | 0.00 | 2.51 | +2.51 | - |
| Trojan.AndroidOS.Triada.gs | 0.00 | 2.50 | +2.50 | - |
| Trojan.AndroidOS.Triada.gn | 0.00 | 2.02 | +2.02 | - |
| Trojan-Downloader.AndroidOS.Agent.mm | 1.46 | 1.91 | +0.45 | +6 |
| Trojan.AndroidOS.Triada.gm | 0.00 | 1.84 | +1.84 | - |
| Trojan.AndroidOS.Generic. | 3.63 | 1.83 | –1.80 | –8 |
| Trojan.AndroidOS.Fakemoney.bw | 0.00 | 1.82 | +1.82 | - |
| Trojan-Banker.AndroidOS.Agent.rj | 0.00 | 1.63 | +1.63 | - |
| Trojan.AndroidOS.Fakemoney.bj | 0.00 | 1.61 | +1.61 | - |
| Trojan-Spy.AndroidOS.SpyNote.cc | 0.06 | 1.54 | +1.47 | - |
遭遇此恶意软件的唯一用户占所有受攻击卡巴斯基移动用户的百分比
Fakemoney家族(投资和支付诈骗应用)在2024年表现出最高的活跃度。嵌入Triada.ga木马的第三方WhatsApp修改版在DangerousObject.Multi.Generic这一通用的云特定判定之后位列第三。同一家族中的许多其他即时通讯应用修改版,即Triada.fd、Triada.gs、Triada.gn和Triada.gm也进入了前20名。
Mamont银行木马按受攻击用户数排名第四,在网络罪犯中获得了很高的流行度。这些恶意应用有多种变体。它们通常通过短信或USSD请求针对用户的资金。其中一种伪装成虚假在线商店的包裹追踪应用传播。
各种由机器学习技术检测的恶意软件文件分别排在第五位(Trojan.AndroidOS.Boogr.gsh)和第七位(DangerousObject.AndroidOS.GenericML)。紧随其后的是在某些设备上预装的Dwphon木马。全年保持活跃的SpyNote RAT木马占据了第九、第十和第二十位。
地域性恶意软件
本节描述了主要影响特定国家的恶意软件类型。
| 判定 | 国家* | 份额** |
|---|---|---|
| Trojan-Banker.AndroidOS.Agent.nw | 土耳其 | 99.58 |
| Trojan.AndroidOS.Piom.axdh | 土耳其 | 99.58 |
| Trojan-Banker.AndroidOS.BrowBot.q | 土耳其 | 99.18 |
| Trojan-Banker.AndroidOS.BrowBot.w | 土耳其 | 99.15 |
| Trojan.AndroidOS.Piom.bayl | 土耳其 | 98.72 |
| Trojan-Banker.AndroidOS.BrowBot.a | 土耳其 | 98.67 |
| Trojan-Spy.AndroidOS.SmsThief.wp | 印度 | 98.63 |
| Trojan-Banker.AndroidOS.Rewardsteal.fa | 印度 | 98.33 |
| Trojan.AndroidOS.Piom.bbfv | 土耳其 | 98.31 |
| Trojan-Banker.AndroidOS.BrowBot.n | 土耳其 | 98.14 |
| HackTool.AndroidOS.FakePay.c | 巴西 | 97.99 |
| Backdoor.AndroidOS.Tambir.d | 土耳其 | 97.87 |
| Trojan.AndroidOS.Piom.bcqp | 土耳其 | 97.79 |
| HackTool.AndroidOS.FakePay.i | 巴西 | 97.65 |
| Backdoor.AndroidOS.Tambir.a | 土耳其 | 97.62 |
| Trojan-Banker.AndroidOS.Coper.b | 土耳其 | 97.45 |
| HackTool.AndroidOS.FakePay.h | 巴西 | 97.39 |
| Trojan-Spy.AndroidOS.SmsThief.ya | 印度 | 97.09 |
| Trojan-Spy.AndroidOS.SmsThief.wm | 印度 | 97.09 |
| Trojan-Banker.AndroidOS.Rewardsteal.hi | 印度 | 96.68 |
*恶意软件最活跃的国家 *在指定国家遭遇该恶意软件的唯一用户占所有遭遇该恶意软件的卡巴斯基移动安全用户的百分比
土耳其和印度在2024年占据了地域性威胁的大部分。各种各样的银行木马在土耳其持续活跃。Piom木马与GodFather和BrowBot银行木马活动相关。
印度的用户受到Rewardsteal银行木马和各种SmsThief短信间谍软件的攻击。我们之前的季度报告曾提及在巴西广泛传播的FakePay工具,它通过模拟支付交易来欺诈卖家。
移动银行木马
与上一年相比,新的银行木马安装包数量再次下降至68,730个。
卡巴斯基2021-2024年检测到的移动银行木马安装包数量
尽管独立安装包数量下降,但银行木马攻击总数较2023年水平显著增加。这一趋势已持续多年。这可能表明诈骗者开始减少生成唯一应用的努力,转而专注于将相同的文件分发给尽可能多的受害者。
TOP 10 移动银行木马
| 判定 | 2023份额* | 2024份额* | 差值(百分点) | 排名变化 |
|---|---|---|---|---|
| Trojan-Banker.AndroidOS.Mamont.bc | 0.00 | 36.70 | +36.70 | - |
| Trojan-Banker.AndroidOS.Agent.rj | 0.00 | 11.14 | +11.14 | - |
| Trojan-Banker.AndroidOS.Mamont.da | 0.00 | 4.36 | +4.36 | - |
| Trojan-Banker.AndroidOS.Coper.a | 0.51 | 3.58 | +3.07 | +30 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | 0.00 | 3.17 | +3.17 | - |
| Trojan-Banker.AndroidOS.Agent.eq | 21.79 | 3.10 | –18.69 | –4 |
| Trojan-Banker.AndroidOS.Mamont.cb | 0.00 | 3.05 | +3.05 | - |
| Trojan-Banker.AndroidOS.Bian.h | 23.13 | 3.02 | –20.11 | –7 |
| Trojan-Banker.AndroidOS.Faketoken.z | 0.68 | 2.96 | +2.29 | +18 |
| Trojan-Banker.AndroidOS.Coper.c | 0.00 | 2.84 | +2.84 | - |
遭遇此恶意软件的唯一用户占所有遭遇银行威胁的卡巴斯基移动安全解决方案用户的百分比
结论
2024年,独立的恶意软件和不希望软件安装包数量逐年持续下降。然而,下降速度有所放缓。尽管独立安装包数量多年来持续减少,但移动银行木马活动上升的趋势依然存在。
网络罪犯不断尝试将恶意软件潜入Google Play等官方应用商店,但我们在2024年也发现了相当数量多样的预装恶意应用。谈到去年首次发现的有趣技术,利用NFC窃取银行卡数据的技术尤为突出。