Android threat report for Q3 2025 | Securelist
IT threat evolution in Q3 2025. Mobile statistics
The quarter at a glance
在2025年第三季度,我们更新了基于卡巴斯基安全网络(KSN)计算统计指标的方法论。这些变化影响了报告中除安装包统计之外的所有部分。 为了说明报告期之间的差异,我们还重新计算了之前季度的数据。因此,这些数字可能与先前发布的数字有显著差异。然而,后续报告将采用这种新方法,从而能够与本报告中呈现的数据进行精确比较。 卡巴斯基安全网络(KSN)是一个用于分析匿名化威胁信息的全球网络,这些信息由卡巴斯基解决方案的用户自愿共享。除非另有明确说明,本报告中的统计数据均基于KSN数据。
The quarter in numbers
根据卡巴斯基安全网络的数据,在2025年第三季度:
- 共阻止了 4700万 次利用恶意软件、广告软件或不需要的移动软件的攻击。
- 木马 是移动恶意软件中最普遍的威胁,占所有受攻击的卡巴斯基解决方案用户的 15.78%。
- 发现了超过 197,000 个恶意安装包,其中包括:
- 52,723 个与移动银行木马相关的安装包。
- 1,564 个被识别为移动勒索软件木马的安装包。
Quarterly highlights
根据更新规则计算,第三季度针对移动设备的恶意软件、广告软件或不必要软件的攻击次数为 347万,略低于上一报告期记录的 351万 次。
在本季度初,一位用户向我们投诉其智能手机上每个浏览器都会弹出广告。我们经过调查,发现了一个预装在设备上的新版BADBOX后门。该后门是一个多级加载器,嵌入在恶意的原生库 librescache.so 中,并由系统框架加载。结果导致木马的副本渗入设备上运行的每个进程。
另一个有趣的发现是 Trojan-Downloader.AndroidOS.Agent.no,它被嵌入到即时通讯和其他应用程序的修改版(mods)中。它会在设备上下载 Trojan-Clicker.AndroidOS.Agent.bl。该点击器从其服务器接收一个正在展示广告的URL,在不可见的WebView窗口中打开它,并使用机器学习算法找到并点击关闭按钮。通过这种方式,欺诈者利用用户设备人为地虚增广告浏览量。
Mobile threat statistics
在第三季度,卡巴斯基安全解决方案检测到 197,738 个针对Android的恶意及不需要软件安装包样本,比上一报告期增加了 55,000 个。
检测到的安装包按类型分布如下:
方法论变更不影响此指标。然而,由于对某些检测结果进行了追溯性审查,上一季度的数据可能与先前发布的数字略有不同。 银行木马的占比有所下降,但这更多地是由于其他恶意和不需要软件包的增加,而非其数量减少。尽管如此,仍然以Mamont家族为主的银行木马继续占据首位。木马释放器(Trojan dropper)的增加也与其相关:这些释放器主要设计用于分发银行木马。
如果同一用户遭受多种攻击类型,总和可能超过100%。 在受攻击用户数量方面,广告软件 以显著优势领先。最普遍的广告软件类型是 HiddenAd(56.3%) 和 MobiDash(27.4%)。RiskTool类不需要软件位居第二。其增长主要归因于 Revpn 模块的扩散,该模块通过将用户设备变为VPN出口点来对其互联网访问进行货币化。最流行的木马不出所料仍是 Triada(55.8%) 和 Fakemoney(24.6%)。遭遇这些木马的用户百分比没有发生显著变化。
TOP 20 most frequently detected types of mobile malware
请注意,下面的恶意软件排名不包括风险软件和潜在不需要软件,例如RiskTool或广告软件。
| 排名 | 检测名称 | %* Q2 2025 | %* Q3 2025 | 百分比点差异 | 排名变化 |
|---|---|---|---|---|---|
| 1 | Trojan.AndroidOS.Triada.ii | 0.00 | 13.78 | +13.78 | - |
| 2 | Trojan.AndroidOS.Triada.fe | 12.54 | 10.32 | –2.22 | –1 |
| 3 | Trojan.AndroidOS.Triada.gn | 9.49 | 8.56 | –0.93 | –1 |
| 4 | Trojan.AndroidOS.Fakemoney.v | 8.88 | 6.30 | –2.59 | –1 |
| 5 | Backdoor.AndroidOS.Triada.z | 3.75 | 4.53 | +0.77 | +1 |
| 6 | DangerousObject.Multi.Generic. | 4.39 | 4.52 | +0.13 | –1 |
| 7 | Trojan-Banker.AndroidOS.Coper.c | 3.20 | 2.86 | –0.35 | +1 |
| 8 | Trojan.AndroidOS.Triada.if | 0.00 | 2.82 | +2.82 | - |
| 9 | Trojan-Dropper.Linux.Agent.gen | 3.07 | 2.64 | –0.43 | +1 |
| 10 | Trojan-Dropper.AndroidOS.Hqwar.cq | 0.37 | 2.52 | +2.15 | +60 |
| 11 | Trojan.AndroidOS.Triada.hf | 2.26 | 2.41 | +0.14 | +2 |
| 12 | Trojan.AndroidOS.Triada.ig | 0.00 | 2.19 | +2.19 | - |
| 13 | Backdoor.AndroidOS.Triada.ab | 0.00 | 2.00 | +2.00 | - |
| 14 | Trojan-Banker.AndroidOS.Mamont.da | 5.22 | 1.82 | –3.40 | –10 |
| 15 | Trojan-Banker.AndroidOS.Mamont.hi | 0.00 | 1.80 | +1.80 | - |
| 16 | Trojan.AndroidOS.Triada.ga | 3.01 | 1.71 | –1.29 | –5 |
| 17 | Trojan.AndroidOS.Boogr.gsh | 1.60 | 1.68 | +0.08 | 0 |
| 18 | Trojan-Downloader.AndroidOS.Agent.nq | 0.00 | 1.63 | +1.63 | - |
| 19 | Trojan.AndroidOS.Triada.hy | 3.29 | 1.62 | –1.67 | –12 |
| 20 | Trojan-Clicker.AndroidOS.Agent.bh | 1.32 | 1.56 | +0.24 | 0 |
遇到此恶意软件的唯一用户数占所有受攻击的卡巴斯基移动解决方案用户的百分比。 最广泛传播的恶意软件列表前几位再次被修改版即时通讯应用 Triada.ii、Triada.fe、Triada.gn 等占据。预装后门 Triada.z 排名第五,紧随 Fakemoney 之后——后者是在提供支付或金融服务的幌子下收集用户个人数据的虚假应用。排在第九位的释放器 Agent.gen 是一个与银行木马 Coper.c 相关联的混淆ELF文件,而Coper.c则紧接在 DangerousObject.Multi.Generic 之后。
Region-specific malware
在本节中,我们描述主要针对特定国家用户的恶意软件。
| 检测名称 | 主要国家* | 占比** |
|---|---|---|
| Trojan-Dropper.AndroidOS.Hqwar.bj | 土耳其 | 97.22% |
| Trojan-Banker.AndroidOS.Coper.c | 土耳其 | 96.35% |
| Trojan-Dropper.AndroidOS.Agent.sm | 土耳其 | 95.10% |
| Trojan-Banker.AndroidOS.Coper.a | 土耳其 | 95.06% |
| Trojan-Dropper.AndroidOS.Agent.uq | 印度 | 92.20% |
| Trojan-Banker.AndroidOS.Rewardsteal.qh | 印度 | 91.56% |
| Trojan-Banker.AndroidOS.Agent.wb | 印度 | 85.89% |
| Trojan-Dropper.AndroidOS.Rewardsteal.ab | 印度 | 84.14% |
| Trojan-Dropper.AndroidOS.Banker.bd | 印度 | 82.84% |
| Backdoor.AndroidOS.Teledoor.a | 伊朗 | 81.40% |
| Trojan-Dropper.AndroidOS.Hqwar.gy | 土耳其 | 80.37% |
| Trojan-Dropper.AndroidOS.Banker.ac | 印度 | 78.55% |
| Trojan-Ransom.AndroidOS.Rkor.ii | 德国 | 76.90% |
| Trojan-Dropper.AndroidOS.Banker.bg | 印度 | 75.12% |
| Trojan-Banker.AndroidOS.UdangaSteal.b | 印度尼西亚 | 75.00% |
| Trojan-Dropper.AndroidOS.Banker.bc | 印度 | 74.73% |
| Backdoor.AndroidOS.Teledoor.c | 伊朗 | 70.33% |
*该恶意软件最活跃的国家。 **在指定国家遇到此木马变种唯一用户数占遇到同一变种的所有受攻击卡巴斯基移动安全解决方案用户的百分比。 银行木马,主要是 Coper,继续在土耳其活跃。印度用户也吸引了分发此类软件的威胁行为者。具体来说,Rewardsteal 银行木马在该国活跃。嵌入假冒Telegram客户端的 Teledoor 后门已在伊朗部署。 值得注意的是,Rkor 勒索软件木马在德国的攻击激增。在前几个季度,其活动水平明显较低。看来欺诈者找到了向用户传递恶意应用程序的新渠道。
Mobile banking Trojans
在2025年第三季度,检测到 52,723 个移动银行木马安装包,比第二季度增加了 10,000 个。
Mamont木马在所有银行木马中的占比再次小幅上升,达到 61.85%。然而,在受攻击用户占比方面,Coper 跃居第一,同一变种被用于其大部分攻击。不同变种的Mamont位居第二及以下,因为不同的攻击使用了不同的样本。尽管如此,遭受Mamont家族攻击的用户总数仍大于遭受Coper攻击的用户数。
TOP 10 移动银行木马
| 排名 | 检测名称 | %* Q2 2025 | %* Q3 2025 | 百分比点差异 | 排名变化 |
|---|---|---|---|---|---|
| 1 | Trojan-Banker.AndroidOS.Coper.c | 13.42 | 13.48 | +0.07 | +1 |
| 2 | Trojan-Banker.AndroidOS.Mamont.da | 21.86 | 8.57 | –13.28 | –1 |
| 3 | Trojan-Banker.AndroidOS.Mamont.hi | 0.00 | 8.48 | +8.48 | - |
| 4 | Trojan-Banker.AndroidOS.Mamont.gy | 0.00 | 6.90 | +6.90 | - |
| 5 | Trojan-Banker.AndroidOS.Mamont.hl | 0.00 | 4.97 | +4.97 | - |
| 6 | Trojan-Banker.AndroidOS.Agent.ws | 0.00 | 4.02 | +4.02 | - |
| 7 | Trojan-Banker.AndroidOS.Mamont.gg | 0.40 | 3.41 | +3.01 | +35 |
| 8 | Trojan-Banker.AndroidOS.Mamont.cb | 3.03 | 3.31 | +0.29 | +5 |
| 9 | Trojan-Banker.AndroidOS.Creduz.z | 0.17 | 3.30 | +3.13 | +58 |
| 10 | Trojan-Banker.AndroidOS.Mamont.fz | 0.07 | 3.02 | +2.95 | +86 |
遇到此恶意软件的唯一用户数占所有遇到银行威胁的卡巴斯基移动安全解决方案用户的百分比。
Mobile ransomware Trojans
由于我们在"地域性恶意软件"部分提到的移动勒索软件木马在德国活动增加,我们决定同时展示此类威胁的统计数据。在第三季度,勒索软件木马安装包的数量增加了一倍多,达到 1,564 个。
| 排名 | 检测名称 | %* Q2 2025 | %* Q3 2025 | 百分比点差异 | 排名变化 |
|---|---|---|---|---|---|
| 1 | Trojan-Ransom.AndroidOS.Rkor.ii | 7.23 | 24.42 | +17.19 | +10 |
| 2 | Trojan-Ransom.AndroidOS.Rkor.pac | 0.27 | 16.72 | +16.45 | +68 |
| 3 | Trojan-Ransom.AndroidOS.Congur.aa | 30.89 | 16.46 | –14.44 | –1 |
| 4 | Trojan-Ransom.AndroidOS.Svpeng.ac | 30.98 | 16.39 | –14.59 | –3 |
| 5 | Trojan-Ransom.AndroidOS.Rkor.it | 0.00 | 10.09 | +10.09 | - |
| 6 | Trojan-Ransom.AndroidOS.Congur.cw | 15.71 | 9.69 | –6.03 | –3 |
| 7 | Trojan-Ransom.AndroidOS.Congur.ap | 15.36 | 9.16 | –6.20 | –3 |
| 8 | Trojan-Ransom.AndroidOS.Small.cj | 14.91 | 8.49 | –6.42 | –3 |
| 9 | Trojan-Ransom.AndroidOS.Svpeng.snt | 13.04 | 8.10 | –4.94 | –2 |
| 10 | Trojan-Ransom.AndroidOS.Svpeng.ah | 13.13 | 7.63 | –5.49 | –4 |
遇到此恶意软件的唯一用户数占所有遇到勒索软件木马攻击的卡巴斯基移动安全解决方案用户的百分比。