2025年第二季度移动网络威胁深度解析:银行木马持续肆虐,新型间谍软件浮现
季度数据
根据卡巴斯基安全网络数据,2025年第二季度:
- 我们的解决方案拦截了1071万次恶意软件、广告软件及有害移动软件攻击。
- 木马程序是最常见的移动威胁,影响了在此期间遭遇移动威胁的卡巴斯基用户中的31.69%。
- 共检测到近14.3万个恶意安装包,其中:
- 42220个是移动银行木马;
- 695个是移动勒索软件木马。
季度亮点
涉及恶意软件、广告软件和有害软件的攻击数量下降至1071万次。
这一趋势主要归因于RiskTool.AndroidOS.SpyLoan活动减少。这些应用程序通常与小额贷款公司相关,包含用于监控借款人和收集其数据(如联系人列表)的潜在危险框架。有趣的是,此类应用程序被发现预装在某些设备上。
本季度,我们发现了一款针对安卓和iOS的新型恶意应用,用于窃取图库中的图片。我们能够确定该活动与之前发现的SparkCat有关联,因此将其命名为SparkKitty。
与其“前辈”类似,这款新恶意软件很可能以作为截图保存的加密货币钱包恢复代码为目标。
Trojan-DDoS.AndroidOS.Agent.a是本季度一个不寻常的发现。攻击者将用于发起动态可配置DDoS攻击的SDK嵌入到设计用于观看成人内容的应用程序中。该木马允许以设定的频率向攻击者指定的地址发送特定数据。用安装了成人应用的移动设备构建DDoS僵尸网络,在攻击效率和威力方面似乎值得怀疑,但显然,一些网络犯罪分子已经找到了这种方法的使用场景。
在第二季度,我们还遇到了Trojan-Spy.AndroidOS.OtpSteal.a,这是一个劫持用户账户的虚假VPN客户端。它不提供所宣传的功能,而是利用通知监听服务拦截来自各种即时通讯应用和社交网络的OTP验证码,并通过机器人将其发送到攻击者的Telegram聊天室。
移动威胁统计数据
安卓恶意软件和潜在有害应用程序样本数量较第一季度有所下降,安装包总数达到142,762个。
第二季度检测到的安装包类型分布如下:
银行木马仍居首位,其份额相对于第一季度有所增加。Mamont家族继续主导这一类别。相比之下,间谍木马跌至第五位,因为短信窃取木马Trojan-Spy.AndroidOS.Agent.akg的APK文件数量激增已经消退。伪装成赌场应用的Agent.amw间谍软件文件数量也有所减少。
RiskTool类型的有害应用和广告软件分别位列第二和第三,而木马程序(大部分文件属于Triada家族)则占据了第四位。
受攻击用户的分布与上一季度相近。后门份额的增加与在设备上预装的Backdoor.Triada.z的发现有关。至于广告软件,受HiddenAd家族影响的用户比例有所上升。
TOP 20 最常检测到的移动恶意软件类型
注意:以下恶意软件排名不包括风险软件或潜在有害软件,例如RiskTool或广告软件。
| 威胁类型 | 2025年Q1占比* | 2025年Q2占比* | 变化 (百分点) | 排名变化 |
|---|---|---|---|---|
| Trojan.AndroidOS.Fakemoney.v | 26.41% | 14.57% | -11.84 | 0 |
| Trojan-Banker.AndroidOS.Mamont.da | 11.21% | 12.42% | +1.20 | +2 |
| Backdoor.AndroidOS.Triada.z | 4.71% | 10.29% | +5.58 | +3 |
| Trojan.AndroidOS.Triada.fe | 3.48% | 7.16% | +3.69 | +4 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00% | 6.97% | +6.97 | - |
| Trojan.AndroidOS.Triada.gn | 2.68% | 6.54% | +3.86 | +3 |
| Trojan-Banker.AndroidOS.Mamont.db | 16.00% | 5.50% | -10.50 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 1.83% | 5.09% | +3.26 | +7 |
| DangerousObject.Multi.Generic. | 19.30% | 4.21% | -15.09 | -7 |
| Trojan-Banker.AndroidOS.Mamont.eb | 1.59% | 2.58% | +0.99 | +7 |
| Trojan.AndroidOS.Triada.hf | 3.81% | 2.41% | -1.40 | -4 |
| Trojan-Downloader.AndroidOS.Dwphon.a | 2.19% | 2.24% | +0.05 | 0 |
| Trojan-Banker.AndroidOS.Mamont.ef | 2.44% | 2.20% | -0.24 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.05% | 2.13% | +2.08 | - |
| Trojan-Banker.AndroidOS.Mamont.dn | 1.46% | 2.13% | +0.67 | +5 |
| Trojan-Downloader.AndroidOS.Agent.mm | 1.45% | 1.56% | +0.11 | +6 |
| Trojan-Banker.AndroidOS.Agent.rj | 1.86% | 1.45% | -0.42 | -3 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00% | 1.42% | +1.42 | - |
| Trojan-Banker.AndroidOS.Mamont.bc | 7.61% | 1.39% | -6.23 | -14 |
| Trojan.AndroidOS.Boogr.gsh | 1.41% | 1.36% | -0.06 | +3 |
- *遇到此恶意软件的唯一用户占所有受攻击的卡巴斯基移动解决方案用户的百分比。
Fakemoney诈骗应用的活动在第二季度明显减少,但仍位居榜首。列表中几乎所有其他条目都是流行的银行木马Mamont的变种、预装木马如Triada和Dwphon,以及内置了Triada木马的修改版即时通讯应用(Triada.fe、Triada.gn、Triada.ga和Triada.gs)。
区域性恶意软件
本节描述主要影响特定国家的恶意软件类型。
| 威胁类型 | 主要国家* | 占比** |
|---|---|---|
| Trojan-Banker.AndroidOS.Coper.c | 土耳其 | 98.65% |
| Trojan-Banker.AndroidOS.Coper.a | 土耳其 | 97.78% |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | 印度 | 95.62% |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | 印度 | 95.48% |
| Trojan-Dropper.AndroidOS.Agent.sm | 土耳其 | 94.52% |
| Trojan.AndroidOS.Fakeapp.hy | 乌兹别克斯坦 | 86.51% |
| Trojan.AndroidOS.Piom.bkzj | 乌兹别克斯坦 | 85.83% |
| Trojan-Dropper.AndroidOS.Pylcasa.c | 巴西 | 83.06% |
- *该恶意软件最活跃的国家。
- **在该国家遇到此木马变体的唯一用户占所有被同一变体攻击的卡巴斯基移动安全解决方案用户的百分比。
除了此类别中典型的银行木马——针对土耳其用户的Coper和在印度活跃的Rewardsteal——该列表还包括专门针对乌兹别克斯坦的虚假求职应用Fakeapp.hy和Piom.bkzj。这两个家族都收集用户的个人数据。与此同时,名为“Pylcasa”的新投放器在巴西运作。它们通过伪装成简单的应用(如计算器)潜入Google Play,但一旦启动,就会打开攻击者提供的URL——类似于Fakemoney家族的木马。这些URL可能导向非法赌场网站或钓鱼页面。
移动银行木马
2025年第二季度检测到的银行木马数量略低于第一季度,但仍显著超过2024年的数据。卡巴斯基解决方案总共检测到42,220个此类安装包。
移动银行木马安装包的大部分仍然是Mamont的各种修改版,占57.7%。就受影响用户份额而言,Mamont也超越了所有竞争对手,在传播最广的银行木马列表中占据了几乎所有前列位置。
TOP 10 移动银行木马
| 威胁类型 | 2025年Q1占比* | 2025年Q2占比* | 变化 (百分点) | 排名变化 |
|---|---|---|---|---|
| Trojan-Banker.AndroidOS.Mamont.da | 26.68% | 30.28% | +3.59 | +1 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00% | 17.00% | +17.00 | - |
| Trojan-Banker.AndroidOS.Mamont.db | 38.07% | 13.41% | -24.66 | -2 |
| Trojan-Banker.AndroidOS.Mamont.ek | 4.37% | 12.42% | +8.05 | +2 |
| Trojan-Banker.AndroidOS.Mamont.eb | 3.80% | 6.29% | +2.50 | +2 |
| Trojan-Banker.AndroidOS.Mamont.ef | 5.80% | 5.36% | -0.45 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.12% | 5.20% | +5.07 | +23 |
| Trojan-Banker.AndroidOS.Mamont.dn | 3.48% | 5.20% | +1.72 | +1 |
| Trojan-Banker.AndroidOS.Agent.rj | 4.43% | 3.53% | -0.90 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00% | 3.47% | +3.47 | +9 |
- *遇到此恶意软件的唯一用户占所有受银行木马攻击的卡巴斯基移动解决方案用户的百分比。
结论
2025年第二季度,涉及恶意软件、广告软件和有害软件的攻击数量较第一季度有所下降。与此同时,木马和银行木马仍然是最常见的威胁,尤其是高度活跃的Mamont家族。此外,本季度还发现了2025年第二个渗透进App Store的间谍软件木马,以及一个窃取OTP码的虚假VPN客户端和隐藏在色情应用中的DDoS僵尸网络。FINISHED
uGpEIrMNkeaFrgRZH70KO+wIS/nkyk9S+YGVNEObZVNQWJI92kj/CN6LXsUEm+j/FzrT4AqeK+N1yPj2zu3vLY3d879lvRK7MmMT9Q2ZmaU=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)