DoctorWeb：2025年第四季度移动设备病毒活动综述

2026.01.12

根据移动设备保护产品Dr.WebSecuritySpace的侦测统计，2025年第四季度侦测最多的是会不断显示广告的广告木马 Android.MobiDash 和 Android.HiddenAds，但与上一季度相比活跃程度有所变化：前者在受保护设备上的侦测率降低了43.24%，后者降低了18.06%。紧随其后的是Android.Siggen家族木马，族包含具有不同功能的恶意应用程序，侦测率也略有降低，为27.47%。

与此同时，银行木马的活动显著增加，用户遭遇率增加了65.52%，增长主要是因 Android.Banker 家族木马的传播。这些恶意程序会拦截用于确认银行交易的一次性验证码短信，还可以模仿合法银行软件的外观并显示钓鱼窗口。

不良程序中最常见的是经CloudInject云服务修改后的安卓应用程序（Dr.Web反病毒软件将其侦测为 Program.CloudInject）。该服务用于向应用程序添加危险的系统权限和混淆代码，导致应用程序的功能无法控制。此外，还经常侦测到一些虚假的杀毒软件，例如Program.FakeAntiVirus，这类软件会侦测到并不存在的威胁，并欺骗用户购买完整版本才能“清除”威胁；还有一种是 Program.FakeMoney，这类软件谎称用户通过完成各种任务可以赚钱。

第四季度最常见的风险软件是 Tool.NPMod，是使用NP Manager工具修改过的应用程序。这个工具会混淆修改后的代码，并添加一个特殊模块，让修改后的应用能够绕过数字签名验证。在广告应用方面，属于Adware.Adpush 家族的仍然最多，是开发者可嵌入到软件中显示广告通知的特殊软件模块。

10月份，我公司专家通报了危险的后门程序 Android.Backdoor.Baohuo.1.origin，攻击者将其嵌入到TelegramX即时通讯软件的非官方修改版中，并通过恶意网站和第三方安卓应用商店进行传播。这个恶意软件会窃取Telegram帐户的登录名和密码以及其他敏感数据。此外，还让网络犯罪分子能够控制受害者的账户，并暗中以受害者名义执行各种操作，如订阅或退出Telegram频道、隐藏新授权的设备、隐藏特定消息等等。Android.Backdoor.Baohuo.1.origin 可通过Redis数据库进行控制的，这是此前安卓威胁中从未出现过的功能。该后门总共感染了约58,000个设备，包括约3,000种不同型号的智能手机、平板电脑、电视机顶盒以及搭载安卓车载电脑的汽车。

在过去一个季度中，我公司的反病毒实验室在Google Play目录中侦测到了新的恶意软件，包括为受害者注册付费服务的木马 Android.Joker 以及用于欺诈活动的各种伪造程序 Android.FakeApp。这些程序的总下载量至少为263,000次。

最常见的恶意软件

Android.MobiDash.7859

显示烦人广告的木马程序，是一个软件模块，软件开发人员可将其嵌入到应用程序中。

Android.FakeApp.1600

能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场。

Android.Click.1812

侦测恶意WhatsApp Messenger修改版，这些修改版在用户不知情的情况下在后台加载各种网站。

Android.Packed.57.origin

侦测混淆器，该混淆器用于保护恶意应用程序（如某些版本的银行木马 Android.SpyMax）。

Android.Triada.5847

侦测用于保护木马免受分析和侦测的 Android.Triada 木马加壳程序。攻击者通常将其与直接嵌入了木马的恶意Telegram通讯模块结合使用。

最常见的不良软件

Program.CloudInject.5

Program.CloudInject.1

侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。

Program.FakeAntiVirus.1

侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。

Program.FakeMoney.11

侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。

Program.SnoopPhone.1.origin

一中用于监控安卓设备用户的程序，可读取短信、获取通话信息、追踪设备位置并录制音频。

最常见的风险程序

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.1.origin

使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。

Tool.LuckyPatcher.2.origin

一种能够修改已安装安卓应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的侦测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。

Tool.Androlua.1.origin

使用Lua脚本编程语言的安卓程序开发专用框架的多个危险版本。Lua应用程序的主要逻辑位于相应的脚本中，这些脚本在执行前由解释器进行加密和解密。通常此框架会请求提供各种系统权限，这样通过其执行的Lua脚本会根据得到的权限执行不同的恶意操作。

最常见的广告软件

Adware.AdPush.3.origin

Adware.Adpush.21846

一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。

Adware.Bastion.1.origin

侦测会定期创建误导性通知的所谓优化程序，这些通知谎称内存不足或存在系统错误，其目的是在所谓“优化”过程中显示广告。

Adware.Airpush.7.origin

嵌入在安卓应用中的软件模块，用于显示各种广告。不同版本和变种所显示的广告可以是通知、弹出窗口或横幅广告。攻击者通常利用这些模块传播恶意软件，诱使用户安装特定软件。这些模块还会将各种机密信息传输到远程服务器。

Adware.ModAd.1

WhatsAppMessenger的某些修改版，内含代码可在使用Messenger时通过网络图片加载指定链接，利用这些地址重定向到广告网站，例如在线赌场和博彩公司、成人网站。

GooglePlay中的威胁

2025年第四季度，我公司反病毒分析师在Google Play目录中发现超过20个属于 Android.Joker 家族的木马程序，功能是擅自为用户订阅付费服务。这些木马伪装成各种软件进行传播，包括即时通讯工具、各类系统优化工具、图像编辑软件、电影播放器等等。

侦测到的 Android.Joker 恶意软件示例。Android.Joker.2496 伪装成用于“清理垃圾”的手机工具Useful Cleaner，而另一个变种 Android.Joker.2495 则伪装成电影播放器Reel Drama

我们的专家还发现了几个属于 Android.FakeApp 家族的新的虚假应用。与之前一样，其中一些是伪装成金融应用来加载欺诈网站。另一些则伪装成游戏。在特定条件下（如用户的IP地址符合攻击者的要求），会加载博彩网站和在线赌场网站。

游戏“Chicken Road Fun”实际上是伪造程序 Android.FakeApp.1910，所谓功能只是幌子，加载的是一个在线赌场网站。

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标