Doctor Web：2026年第一季度移动设备病毒活动综述

01.04.2026

病毒报告 | Doctor Web公司新闻

2026.04.01

根据Dr.Web Security Space移动设备保护产品的侦测统计数据，显示烦人广告的恶意软件 Android.MobiDash 和 Android.HiddenAds 在2026年第一季度的活跃程度持续下降。与去年第四季度相比，在受保护设备的侦测频率分别下降了32.70%和7.09%。替代这些恶意软件成为主要威胁的是 Android.Banker 家族的银行木马，其活动在过去三个月中的增长超过2.5倍以，成为最常见的安卓威胁。这些恶意应用程序能够拦截包含银行交易确认码的短信，显示钓鱼窗口，还可以模仿合法的银行软件来窃取机密数据。用户最常遭遇的是属于 Android.Banker.Mamont 子家族的木马，该子家族包含多种恶意软件。

此外，使用NP Manager黑客修改工具修改并通过添加垃圾代码来混淆逻辑的应用程序在第一季度也广泛传播，占到侦测总量的15.35%。去年秋季以来，Android.Banker.Mamont 木马家族就已积极属于此类工具，目的是逃避反病毒软件的侦测。因此，发现应用程序被修改时，我们的产品会发出警告。Dr.Web反病毒产品将此类软件侦测为 Tool.Obfuscator.TrashCode。

另一种常见的威胁软件类型仍然是使用NPManager工具（Dr.Web将其侦测为 Tool.NPMod）修改过的程序，尽管侦测量下降了31.65%。这种工具包含用于保护和混淆程序代码的各种模块，以及在修改后绕过数字签名验证的功能，被网络犯罪分子用来保护恶意软件，增加反病毒软件将其侦测的难度。

最常见的不良应用是伪装成反病毒软件的 Program.FakeAntiVirus，声称可以侦测威胁，但需要用户购买完整版才能“清除”威胁。用户还遭遇了 Program.FakeMoney 和 Program.CloudInject 家族的程序，一种是声称用户通过完成各种任务可以赚钱，一种是通过CloudInject云服务修改过的软件。这种访问用于向应用程序添加危险的系统权限和其功能不可控制的混淆后代码。

在众多广告软件中，侦测最多的是所谓优化程序 Adware.Bastion.1.origin，会定期弹出通知，谎称内存不足或存在系统错误，但实际上是在“优化”过程中显示广告。另一种侦测较多的广告软件是 Adware.Opensite.15，攻击者将其伪装成用来获取游戏资源的游戏作弊工具。实际上这些程序会加载各种显示广告的网站。嵌入 Adware.AdPush 广告模块的程序也在广泛传播。

今年1月，DoctorWeb向用户通报新型点击木马家族 Android.Phantom。我们的病毒分析师发现该恶意软件有多个传播渠道，其中包括小米设备的官方应用商店Get Apps，该木马程序被嵌入到上架的多个游戏。网络犯罪分子还通过各种Telegram频道、Discord服务器、在线软件合集和恶意网站传播嵌入点击器热门应用修改版。

攻击者在 Android.Phantom 利用机器学习技术和Web RTC技术（一种通过浏览器传输包括视频在内的流数据的技术）来增加网站广告点击量。这些木马程序会在一个不可见的WebView中加载目标网络资源以及JavaScript代码用于模拟用户操作。与广告的交互有两种模式。如果设备支持WebRTC，Android.Phantom 点击器会将加载了网站的虚拟屏幕展示给攻击者，攻击者可以手动或使用自动化系统控制屏幕。

如果WebRTC不可用，则会使用基于TensorFlowJS框架的自动化JavaScript脚本。点击器会从远程服务器下载必要的行为模型，以及包含框架本身和运行模型以及与目标网站交互所需所有函数的JavaScript代码。

我公司反病毒实验室第一季度在Google Play应用商店侦测到新威胁，其中包括很多 Android.Joker 木马程序，以及恶意软件 Android.Subscription.23 和 Android.Subscription.24。所有这些恶意软件的功能都是为用户订阅付费服务。

第一季度主要移动安全事件：

银行木马 Android.Banker 成为安卓设备最常见的威胁
网络犯罪分子越来越频繁使用安卓应用修改工具来增强银行木马逃避反病毒软件侦测的能力
广告木马 Android.MobiDash 和 Android.HiddenAds 的活动持续下降
用户受到木马 Android.Phantom 的威胁，这类木马利用机器学习和视频流来操纵网站点击量
恶意应用仍在通过Google Play传播

Dr.Web for Android保护产品统计信息

最常见的恶意软件

Android.Banker.Mamont.80.origin: 银行木马程序，能拦截包含信贷机构发送的一次性验证码的短信、通知内容，并收集其他机密信息，包括受感染设备的技术数据、已安装应用程序列表、SIM卡信息、通话记录以及收发的短信。
Android.FakeApp.1600: 能够下载其设置中指定的网站的木马，已知变种加载的是在线赌场
Android.HiddenAds.675.origin: 显示侵入式广告的木马程序。Android.HiddenAds 家族的木马通常伪装成普通应用进行传播，某些情况下依靠其他恶意软件安装到系统目录。进入安卓设备后这些广告软件木马通常会隐藏自身在系统中的存在，如隐藏自己在主屏幕菜单中的图标。
Android.Packed.57.origin: 侦测混淆器，该混淆器用于保护恶意应用程序（如某些版本的银行木马 Android.SpyMax）。
Android.Click.1812: 侦测恶意Whats App Messenger修改版，这些修改版在用户不知情的情况下在后台加载各种网站。

最常见的不良软件

Program.FakeAntiVirus.1: 侦测假冒反病毒软件运行的广告应用。这种应用汇谎报发现安全威胁，诱骗用户支付费用购买完整版本。
Program.FakeMoney.11: 侦测据谎称用户通过执行某些操作或任务就可赚钱的应用程序。这些程序模拟奖励累积，称积累到一定的金额就可用“提现”，但实际上用户根本不可能得到任何付款。
Program.CloudInject.5
Program.CloudInject.1: 侦测经CloudInject云服务和同名安卓工具修改的安卓应用程序（归类为 Tool.CloudInject 添加至Dr.Web病毒库）。此类程序在远程服务器上进行修改，而有用户（修改者）无法控制修改过程中到底内置了什么。此外，应用程序还会得到一些危险的权限。修改后用户可以远程控制这些程序，包括锁定、显示自定义对话框、跟踪其他软件的安装和删除等。
Program.SnoopPhone.1.origin: 一种用于监控安卓设备用户的程序，可读取短信、获取通话信息、追踪设备位置并录制音频。

最常见的风险程序

Tool.Obfuscator.TrashCode.1
Tool.Obfuscator.TrashCode.2: 使用黑客工具篡改并注入恶意代码的安卓应用。进行篡改的目的是混淆程序逻辑，此技术常见于银行木马和盗版软件。
Tool.NPMod.3
Tool.NPMod.1: 使用工具NP Manager修改过的的安卓应用程序。此类程序中嵌入了一个特殊模块，可修改数字签名并绕过验证。所添加的混淆技术通常用于增加恶意软件的侦测分析难度。
Tool.LuckyPatcher.2.origin: 一种能够修改已安装安卓应用（为其创建补丁）的工具，功能是改变其运行逻辑或绕过某些限制。例如，用户可借助此工具尝试禁用银行应用对ROOT权限的侦测，或在游戏中获取无限资源。该工具会从网络下载专门编写的脚本来创建补丁，而这些脚本可由任何用户编写并上传至公共数据库。此类脚本可能包含恶意功能，因此生成的补丁可能具有潜在风险。

最常见的广告软件

Adware.Bastion.1.origin: 侦测会定期创建误导性通知的所谓优化程序，这些通知谎称内存不足或存在系统错误，其目的是在所谓“优化”过程中显示广告。
Adware.AdPush.3.origin: 一类可嵌入安卓应用的广告模块，通过展示容易误导用户的通知进行广告推送，如将广告伪装成操作系统通知的样式。此外，这些模块还能收集多种敏感数据，并具备下载其他应用并静默触发其安装的能力。
Adware.Opensite.15: 伪装成游戏作弊工具的应用，实际功能是投放广告。这些程序会从远程服务器接收配置信息，然后加载带有广告的目标网站，包括横幅广告、弹出式广告、视频广告等等。
Adware.Fictus.1.origin: 嵌入到热门安卓游戏和应用的克隆版本一种广告模块，利用名为net2share的专用打包工具集成到程序。嵌入广告模块的软件副本通过各种应用目录传播，一旦安装到设备就会显示垃圾广告。
Adware.Airpush.7.origin: 嵌入在安卓应用中的软件模块，用于显示各种广告。不同版本和变种所显示的广告可以是通知、弹出窗口或横幅广告。攻击者通常利用这些模块传播恶意软件，诱使用户安装特定软件。这些模块还会将各种机密信息传输到远程服务器。

Google Play中的威胁

2026年第一季度，我公司反病毒分析师在Google Play目录中再次发现擅自为用户订阅付费服务的 Android.Joker 家族木马。这些木马程序隐藏在多个安卓优化工具中，还伪装成即时通讯软件、多媒体应用和其他软件进行传播，总下载量至少达37万次。

2026年第一季度在GooglePlay侦测到的 Android.Joker 恶意软件示例。嵌入 Android.Joker.2511 的是即时通讯软件PrivateChatMessage，嵌入 Android.Joker.2524 的是相机应用MagicCamera

此外，我们的恶意软件分析师还侦测到恶意软件 Android.Subscription.23 和 Android.Subscription.24，功能是为订阅付费服务。这些木马程序会加载一些网站，利用Wap Click技术激活付费移动订阅。这些网站会请求用户提供手机号码，然后尝试自动接通相关服务。这两款恶意应用在Google Play的总下载量已超过150万次。.

Android.Subscription.23 和 Android.Subscription.24 恶意软件伪装成个人理财应用程序Stream Hive和PrimeLink进行传播，但其唯一的功能是加载网站，为安卓设备用户接通付费移动服务

我们建议用户安装Dr.Web安卓保护产品来保护安卓设备，抵御恶意程序和不良程序。

失陷指标