IT威胁演进:2025年第二季度移动统计数据
本季度网络威胁报告的移动部分包含针对Android的恶意软件、广告软件和潜在有害软件的统计数据,以及报告期内发现的针对Android和iOS的最值得关注的威胁描述。本报告中的统计数据基于卡巴斯基产品的检测警报,这些数据来自同意向卡巴斯基安全网络提供匿名数据的用户。
季度数据
根据卡巴斯基安全网络数据,2025年第二季度:
- 我们的解决方案拦截了 1071万次 恶意软件、广告软件和有害移动软件攻击。
- 木马是最常见的移动威胁,影响了报告期内遭遇移动威胁的卡巴斯基用户中的 31.69%。
- 共检测到近 14.3万 个恶意安装包,其中:
- 42,220个是移动银行木马;
- 695个是移动勒索软件木马。
季度亮点
涉及恶意软件、广告软件和有害软件的用户攻击总数降至1071万次。
这一趋势主要是由于RiskTool.AndroidOS.SpyLoan活动减少。此类应用通常与小额贷款机构相关,包含用于监控借款人和收集其数据(如联系人列表)的潜在危险框架。有趣的是,此类应用被发现预装在一些设备上。
本季度,我们发现了一款新的针对Android和iOS的恶意应用,该应用窃取图库中的图片。我们能够确定该活动与先前发现的SparkCat有关联,因此将其命名为SparkKitty。
像它的“老大哥”一样,这款新恶意软件很可能是针对保存为截图的加密货币钱包恢复代码。
Trojan-DDoS.AndroidOS.Agent.a是本季度一个不寻常的发现。恶意行为者将用于发起动态可配置DDoS攻击的SDK嵌入到为观看成人内容设计的应用中。该木马允许以设定的频率向攻击者指定的地址发送特定数据。用安装了成人应用的移动设备构建DDoS僵尸网络,在攻击效率和威力方面似乎是一项值得怀疑的尝试——但显然,一些网络犯罪分子已经发现了这种方法的用途。
在第二季度,我们还遇到了Trojan-Spy.AndroidOS.OtpSteal.a,这是一款假冒的VPN客户端,用于劫持用户账户。它没有提供所宣传的功能,而是利用通知监听服务拦截来自各种消息应用和社交网络的一次性密码,并通过机器人将其发送到攻击者的Telegram聊天中。
移动威胁统计
检测到的Android恶意软件和潜在有害应用安装包数量从第一季度开始减少,总数达到142,762个。
第二季度检测到的安装包类型分布如下:
- 银行木马:占比 29.58%
- RiskTool(风险工具):占比 23.92%
- 广告软件:占比 17.89%
- 木马:占比 15.70%
- 间谍木马:占比 7.48%
- 后门:占比 2.69%
- 勒索软件:占比 1.01%
- 下载器:占比 0.73%
- 由于某些检测结果被追溯修订,上一季度的数据可能与之前发布的数据略有不同。
银行木马仍居首位,其份额相对于第一季度有所增加。Mamont家族继续主导这一类别。相比之下,间谍木马降至第五位,因为间谍软件Trojan-Spy.AndroidOS.Agent.akg的APK文件数量激增已经消退。伪装成赌场应用的间谍软件Agent.amw文件数量也有所减少。
RiskTool类型的有害应用和广告软件分别位列第二和第三,而木马(大部分文件属于Triada家族)则占据第四位。
受攻击用户的分布与上一季度接近。后门份额的增加与发现预装在设备上的Backdoor.Triada.z有关。至于广告软件,受HiddenAd家族影响的用户比例有所增加。
TOP 20 最常检测到的移动恶意软件类型
请注意,下面的恶意软件排名不包括风险软件或潜在有害软件,例如RiskTool或广告软件。
| 排名 | 检测名称 | 2025 Q1 占比* | 2025 Q2 占比* | 变化 (百分点) | 排名变化 |
|---|---|---|---|---|---|
| 1 | Trojan.AndroidOS.Fakemoney.v | 26.41% | 14.57% | -11.84 | 0 |
| 2 | Trojan-Banker.AndroidOS.Mamont.da | 11.21% | 12.42% | +1.20 | +2 |
| 3 | Backdoor.AndroidOS.Triada.z | 4.71% | 10.29% | +5.58 | +3 |
| 4 | Trojan.AndroidOS.Triada.fe | 3.48% | 7.16% | +3.69 | +4 |
| 5 | Trojan-Banker.AndroidOS.Mamont.ev | 0.00% | 6.97% | +6.97 | 新上榜 |
| 6 | Trojan.AndroidOS.Triada.gn | 2.68% | 6.54% | +3.86 | +3 |
| 7 | Trojan-Banker.AndroidOS.Mamont.db | 16.00% | 5.50% | -10.50 | -4 |
| 8 | Trojan-Banker.AndroidOS.Mamont.ek | 1.83% | 5.09% | +3.26 | +7 |
| 9 | DangerousObject.Multi.Generic. | 19.30% | 4.21% | -15.09 | -7 |
| 10 | Trojan-Banker.AndroidOS.Mamont.eb | 1.59% | 2.58% | +0.99 | +7 |
| 11 | Trojan.AndroidOS.Triada.hf | 3.81% | 2.41% | -1.40 | -4 |
| 12 | Trojan-Downloader.AndroidOS.Dwphon.a | 2.19% | 2.24% | +0.05 | 0 |
| 13 | Trojan-Banker.AndroidOS.Mamont.ef | 2.44% | 2.20% | -0.24 | -2 |
| 14 | Trojan-Banker.AndroidOS.Mamont.es | 0.05% | 2.13% | +2.08 | 新上榜 |
| 15 | Trojan-Banker.AndroidOS.Mamont.dn | 1.46% | 2.13% | +0.67 | +5 |
| 16 | Trojan-Downloader.AndroidOS.Agent.mm | 1.45% | 1.56% | +0.11 | +6 |
| 17 | Trojan-Banker.AndroidOS.Agent.rj | 1.86% | 1.45% | -0.42 | -3 |
| 18 | Trojan-Banker.AndroidOS.Mamont.ey | 0.00% | 1.42% | +1.42 | 新上榜 |
| 19 | Trojan-Banker.AndroidOS.Mamont.bc | 7.61% | 1.39% | -6.23 | -14 |
| 20 | Trojan.AndroidOS.Boogr.gsh | 1.41% | 1.36% | -0.06 | +3 |
- 遭遇此恶意软件的唯一用户数占所有受攻击的卡巴斯基移动解决方案用户的百分比。
第二季度,Fakemoney诈骗应用的活动明显减少,但仍位居榜首。列表中的其他条目几乎都是流行的银行木马Mamont的变种、预装木马如Triada和Dwphon,以及内置Triada木马的修改版消息应用(Triada.fe, Triada.gn, Triada.ga 和 Triada.gs)。
区域性恶意软件
本节描述主要影响特定国家的恶意软件类型。
| 检测名称 | 主要国家* | 国家内占比** |
|---|---|---|
| Trojan-Banker.AndroidOS.Coper.c | Türkiye | 98.65% |
| Trojan-Banker.AndroidOS.Coper.a | Türkiye | 97.78% |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | India | 95.62% |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | India | 95.48% |
| Trojan-Dropper.AndroidOS.Agent.sm | Türkiye | 94.52% |
| Trojan.AndroidOS.Fakeapp.hy | Uzbekistan | 86.51% |
| Trojan.AndroidOS.Piom.bkzj | Uzbekistan | 85.83% |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Brazil | 83.06% |
- 该恶意软件最活跃的国家。 ** 在该国家遭遇此木马变体的唯一用户数占所有被同一变体攻击的卡巴斯基移动安全解决方案用户的百分比。
除了此类别中典型的银行木马——针对土耳其用户的Coper和在印度活跃的Rewardsteal——列表还包括专门针对乌兹别克斯坦的虚假求职应用Fakeapp.hy和Piom.bkzj。这两个家族都收集用户的个人数据。与此同时,名为“Pylcasa”的新木马投放器在巴西活动。它们通过伪装成简单应用(如计算器)潜入Google Play,但一旦启动,就会打开恶意行为者提供的URL——类似于Fakemoney家族的木马。这些URL可能导向非法赌场网站或钓鱼页面。
移动银行木马
2025年第二季度检测到的银行木马数量略低于第一季度,但仍显著超过2024年的数字。卡巴斯基解决方案共检测到 42,220 个此类安装包。
移动银行木马安装包的大部分仍然是Mamont的各种变种,占 57.7%。就受影响用户的比例而言,Mamont也超越了所有竞争对手,几乎占据了最流行银行木马列表的所有前列位置。
TOP 10 移动银行木马
| 排名 | 检测名称 | 2025 Q1 占比* | 2025 Q2 占比* | 变化 (百分点) | 排名变化 |
|---|---|---|---|---|---|
| 1 | Trojan-Banker.AndroidOS.Mamont.da | 26.68% | 30.28% | +3.59 | +1 |
| 2 | Trojan-Banker.AndroidOS.Mamont.ev | 0.00% | 17.00% | +17.00 | 新上榜 |
| 3 | Trojan-Banker.AndroidOS.Mamont.db | 38.07% | 13.41% | -24.66 | -2 |
| 4 | Trojan-Banker.AndroidOS.Mamont.ek | 4.37% | 12.42% | +8.05 | +2 |
| 5 | Trojan-Banker.AndroidOS.Mamont.eb | 3.80% | 6.29% | +2.50 | +2 |
| 6 | Trojan-Banker.AndroidOS.Mamont.ef | 5.80% | 5.36% | -0.45 | -2 |
| 7 | Trojan-Banker.AndroidOS.Mamont.es | 0.12% | 5.20% | +5.07 | +23 |
| 8 | Trojan-Banker.AndroidOS.Mamont.dn | 3.48% | 5.20% | +1.72 | +1 |
| 9 | Trojan-Banker.AndroidOS.Agent.rj | 4.43% | 3.53% | -0.90 | -4 |
| 10 | Trojan-Banker.AndroidOS.Mamont.ey | 0.00% | 3.47% | +3.47 | +9 |
- 在遭遇银行木马攻击的用户中,遭遇此特定银行木马的用户百分比。
结论
2025年第二季度,涉及恶意软件、广告软件和有害软件的攻击数量相比第一季度有所下降。与此同时,木马和银行木马仍然是最常见的威胁,尤其是高度活跃的Mamont家族。此外,本季度还发现了2025年第二款侵入App Store的间谍软件木马,以及一款窃取OTP代码的假VPN客户端和一款隐藏在看片应用中的DDoS僵尸网络。