2025年第二季度移动网络威胁报告
季度数据概览
根据卡巴斯基安全网络数据,2025年第二季度:
- 我们的解决方案阻止了1071万次恶意软件、广告软件和不需要的移动软件攻击
- 特洛伊木马是最常见的移动威胁,影响了31.69%遭遇移动威胁的卡巴斯基用户
- 检测到近143,000个恶意安装包,其中:
- 42,220个是移动银行木马
- 695个是移动勒索软件木马
季度亮点
涉及恶意软件、广告软件和不需要软件的用户攻击数量下降至1071万次。
趋势主要由于RiskTool.AndroidOS.SpyLoan活动减少。这些应用通常与小额贷款相关联,包含用于监控借款人和收集其数据(如联系人列表)的潜在危险框架。值得注意的是,此类应用被发现预装在部分设备上。
本季度我们发现了一个新的针对Android和iOS的恶意应用,该应用能够从图库中窃取图像。我们确定此活动与先前发现的SparkCat有关联,因此将其命名为SparkKitty。
与它的"前辈"类似,新恶意软件很可能针对保存为截图的加密货币钱包恢复代码。
Trojan-DDoS.AndroidOS.Agent.a是本季度的不寻常发现。恶意行为者将用于进行动态可配置DDoS攻击的SDK嵌入到设计用于观看成人内容的应用程序中。该木马允许以设定的频率向攻击者指定的地址发送特定数据。
移动威胁统计
检测到的Android恶意软件和潜在不需要应用样本数量较第一季度有所下降,总计达到142,762个安装包。
第二季度检测到的安装包类型分布如下:
- 银行木马仍居首位,其份额相对于第一季度有所增加
- Mamont家族继续主导此类别
- 间谍木马下降至第五位
- RiskTool类型的不需要应用和广告软件分别排名第二和第三
- 特洛伊木马占据第四位,大部分文件属于Triada家族
TOP 20最常检测到的移动恶意软件类型
| 类型 | %* 2025年第一季度 | %* 2025年第二季度 | 差异 | 排名变化 |
|---|---|---|---|---|
| Trojan.AndroidOS.Fakemoney.v | 26.41 | 14.57 | -11.84 | 0 |
| Trojan-Banker.AndroidOS.Mamont.da | 11.21 | 12.42 | +1.20 | +2 |
| Backdoor.AndroidOS.Triada.z | 4.71 | 10.29 | +5.58 | +3 |
*遭遇此恶意软件的独立用户占所有受攻击卡巴斯基移动解决方案用户的百分比
Fakemoney诈骗应用的活动在第二季度明显减少,但仍保持首位。列表中几乎所有其他条目都是流行银行木马Mamont的变种、预装木马如Triada和Dwphon,以及内置Triada木马的修改版消息应用。
区域特定恶意软件
本节描述主要影响特定国家的恶意软件类型。
除了此类别中典型的银行木马——针对土耳其用户的Coper和在印度活跃的Rewatrdsteal——列表还包括专门针对乌兹别克斯坦的虚假求职应用Fakeapp.hy和Piom.bkzj。这两个家族都收集用户的个人数据。
移动银行木马
2025年第二季度检测到的银行木马数量略低于第一季度,但仍显著超过2024年的数据。卡巴斯基解决方案共检测到42,220个此类安装包。
移动银行木马安装包的大部分仍然是Mamont的各种修改版,占57.7%。就受影响用户份额而言,Mamont也超过了所有竞争对手,占据了最广泛银行木马列表的几乎所有前列位置。
TOP 10移动银行木马
| 类型 | %* 2025年第一季度 | %* 2025年第二季度 | 差异 | 排名变化 |
|---|---|---|---|---|
| Trojan-Banker.AndroidOS.Mamont.da | 26.68 | 30.28 | +3.59 | +1 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00 | 17.00 | +17.00 | - |
| Trojan-Banker.AndroidOS.Mamont.db | 38.07 | 13.41 | -24.66 | -2 |
结论
2025年第二季度,涉及恶意软件、广告软件和不需要软件的攻击数量较第一季度有所减少。与此同时,特洛伊木马和银行木马仍然是最常见的威胁,特别是高度活跃的Mamont家族。此外,本季度还发现了2025年第二个渗透到App Store的间谍木马,以及窃取OTP代码的虚假VPN客户端和隐藏在色情观看应用中的DDoS僵尸网络。