2025年第一季度移动威胁报告

季度数据

根据卡巴斯基安全网络（KSN）数据，2025年第一季度：

• 共拦截1200万次涉及恶意软件、广告软件或不需要应用的移动设备攻击
• 木马占检测到威胁的39.56%
• 检测到超过18万个恶意和潜在不需要安装包，包括：
  • 49,273个移动银行木马相关包
  • 1,520个移动勒索木马

季度亮点

2025年第一季度针对安卓设备的攻击增至12,184,351次。增长主要源于：

• Mamont银行木马和Fakemoney诈骗应用活动
• 预装Triada后门的假冒品牌智能手机，可动态从服务器下载模块
  • 模块功能包括：浏览器URL替换、阻止特定服务器连接、窃取社交媒体和即时通讯服务登录凭证
  • 加密钱包窃取模块单独提及：追踪到多个钱包，被盗金额至少27万美元（仅TRON加密货币达18.2万美元）

土耳其出现新银行木马Trojan-Banker.AndroidOS.Bankurt.c，伪装成盗版电影观看应用：

• 利用DeviceAdmin权限获取系统立足点
• 获取无障碍功能访问权限
• 通过VNC远程控制设备并窃取短信

移动威胁统计

检测到的安卓恶意软件和不需要应用样本数增至180,405个。安装包类型分布变化：

• 银行木马（27.31%）和间谍木马（24.49%）成为最常见威胁
• RiskTool和广告软件分别降至第三、四位

修订原因：第一季度Mamont银行木马安装包激增。间谍木马中Agent.akg（窃取短信）安装包数量最多。

遭遇木马攻击的用户数急剧上升，原因包括：

• 大量预装Triada木马的设备
• Fakemoney诈骗应用活动增加（诱骗用户分享个人数据）
• Mamont家族活动导致遭遇银行木马用户数增加

TOP 20最常见移动恶意软件类型

排名排除风险软件和潜在不需要应用（如广告软件和RiskTool）。榜单主要由以下占据：

• Fakemoney应用
• 各种Mamont银行木马变种
• 预装Backdoor.AndroidOS.Triada.z和Trojan.AndroidOS.Triada.hf恶意应用
• 嵌入Triada木马的修改版即时通讯应用（Triada.fe、Triada.gn、Triada.ga、Triada.gs）
• 预装Dwphon木马
• 伪造广告拦截器Trojan-Clicker.AndroidOS.Agent.bh（实际增加广告浏览量）

区域针对性恶意软件

描述主要针对特定国家的恶意软件家族。第一季度"选择性"恶意应用数量略减：

• 土耳其：银行木马盛行（Coper、BrowBot、Hqwar、Agent.sm）
  • Coper具备RAT功能，支持通过远程设备管理窃取资金
  • BrowBot窃取短信
• 印度：Rewardsteal银行木马（伪装提供金钱窃取银行详情）、UdangaSteal木马（原盛行于印尼）、SmForw.ko木马（转发短信至其他号码）

移动银行木马

银行木马安装包数量增加主要受Mamont驱动：

• 创建者疑似采用MaaS模式，允许诈骗者付费生成定制变种
• 大量无关网络犯罪分子传播不同版本Mamont

用户目标百分比方面，各种Mamont版本也居主导地位。

Top 10移动银行木马

Mamont各版本在排名和百分比变化上表现显著，新变种如Mamont.ef、Mamont.ek、Mamont.eb、Mamont.dn进入榜单。