DoctorWeb：2025年第三季度移动设备病毒活动综述

根据移动设备保护产品Dr.Web Security Space的侦测统计，2025年第三季度侦测最多的是会不断显示广告的 Android.MobiDash 广告木马，与上一季度相比在受保护设备的侦测量上升18.19%。

广告木马 Android.HiddenAds。侦测量退居第二，近三个月用户遭遇此类木马的频率降低71.85%。这些恶意应用程序会通过隐藏图标来避免被用户发现和删除，并会显示广告，包括全屏视频。

排在第三的还是用于各种诈骗模式的恶意虚假程序 Android.FakeApp，其侦测量降低7.49%。这些木马病毒经常不是执行其声称预期功能，而是加载各种网站，包括诈骗和恶意网站，以及在线赌场和博彩网站。

最常见的银行木马仍然是 Android.Banker 家族成员，但其活动量下降了 38.88%。攻击者利用这些银行木马访问银行账户并窃取资金。这些木马的功能包括显示钓鱼窗口窃取登录名和密码、模仿合法银行应用程序的外观、拦截短信获取一次性验证码等等。

排在其后的是木马 Android.BankBot，其侦测频率上升了 18.91%。这些木马也是通过拦截确认码来访问用户的网上银行账户。这些银行木马病毒还可以执行网络犯罪分子的各种命令，有些甚至可用于远程控制被感染的设备。

排名前三的恶意软件还包括基于间谍木马 SpyNote 源代码的 Android.SpyMax 家族成员。与第二季度相比其侦测率下降 17.25%。这些恶意软件具有广泛的恶意功能，其中包括远程控制设备的功能。

8 月份，我们通报了多功能后门 Android.Backdoor.916.origin 的传播活动，网络犯罪分子利用这个后门窃取机密数据并监视 安卓设备用户。攻击者通过各种通讯应用向潜在受害者发送消息，建议从消息附带的 APK 文件安装“杀毒软件”。Doctor Web 的反毒实验室早在 2025 年 1 月就侦测到了这种恶意软件的第一个个版本，并自此持续监控其发展情况。我公司专家认为该后门是用于定向攻击，所以目的并非是大规模传播。网络犯罪分子的主要进攻目标是俄罗斯企业。

第三季度，Google Play 上出现了大量恶意和不良应用，总安装量超过 1,459,000 次。其中包括数十个用于诱骗受害者注册付费服务 Android.Joker 木马以及 Android.FakeApp 欺诈程序。此外，我们的恶意软件分析师还发现了另一个谎称用户可将虚拟奖励兑换成真实货币的程序。

Dr.WebforAndroid保护产品统计信息

最常见的恶意软件

Android.MobiDash.7859

显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。

Android.FakeApp.1600

能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。

Android.HiddenAds.673.origin

用于不断显示广告的木马，Android.HiddenAds 家族成员经常假冒正常应用，某些情况下借助其他恶意软件暗中安装到设备的系统目录。安装到安卓设备后，此类木马会隐身，比如去掉自己在主屏幕的应用图标。

Android.Triada.5847

侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意 Telegram 通讯模块结合使用。

Program.FakeMoney.11

侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。

Program.CloudInject.5

Program.CloudInject.1

侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.TrackView.1.origin

通过Android设备监控用户的应用程序。攻击者利用此程序可确定目标设备的位置、使用摄像头录制视频和拍照、通过麦克风进行监听、录音等。

最常见的风险程序

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.4

使用工具NPManager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。

Tool.LuckyPatcher.2.origin

一种能够修改已安装Android应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的检测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。

Tool.Androlua.1.origin

使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin

Adware.Adpush.21846

一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。

Adware.ModAd.1

WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。

Adware.Youmi.4

在安卓设备桌面上创建广告快捷方式的不良广告插件。

Adware.Basement.1

显示不良广告的应用程序通常会将用户引至恶意网站和诈骗网站，与不良软件 Program.FakeMoney.11 共享一个共同的代码库。

GooglePlay中的威胁

2025 年第三季度，我公司反病毒分析师在 Google Play 目录中发现超过50个属于 Android.Joker 家族的木马程序，这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统辅助工具、图像编辑软件、摄影应用、文档处理程序等等，功能是擅自为用户订阅付费服务。

其中一个木马化身名为"Clean Boost"的安卓系统优化软件（Android.Joker.2412），另一个打着的名号是文本转换工具"Convert Text to PDF"（Android.Joker.2422）。

此外，我们的专家再度发现用于诈骗活动的安卓仿冒应用 Android.FakeApp。与以往一样，网络犯罪分子将其中部分软件伪装成金融类工具，如金融资讯查询手册、投资教学指南、投资服务平台接入程序等。这些仿冒应用会加载欺诈网站。另一些 Android.FakeApp 木马则伪装成游戏，在特定条件下不提供宣称的功能，而是会跳转至博彩网站和线上赌场。

伪装成金融应用程序的 Android.FakeApp 木马示例。Android.FakeApp.1889 向用户提供所谓的金融知识测试，而 Android.FakeApp.1890 则声称可发展投资智商

我们的专家还发现了一个不良软件 Program.FakeMoney.16，以"Zeus Jackpot Mania"应用的形式传播。用户使用该软件可获得虚拟奖励，而应用称能将这些奖励兑换成真实货币并提现。

Google Play中的 Program.FakeMoney.16

"提现"时该程序会要求用户提供一系列信息，但受害者最终根本不会获得任何资金。

Program.FakeMoney.16 要求用户提供完整姓名及银行账户信息

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。