月度移动端常见恶意软件类型活跃趋势对比如下图：

本月监测数据显示，八类恶意软件的整体呈现小幅波动态势，影响终端量较多的恶意类型本月呈现下降趋势，其中“流氓行为”-8.50%、“诱骗欺诈”-7.49%、“资费消耗”-6.16%。

“恶意扣费”本月呈现较明显的增长态势，环比上升47.97%。

本月移动端活跃恶意木马家族TOP10如下图：

本月榜单新增两个活跃木马家族：QHooPlayer.c 与 Dropper.j：

QHooPlayer.c系QHooPlayer家族最新变种，新增“隐藏图标”能力，增强了隐蔽性。

Dropper.于为2017年首次发现，老牌Dropper木马的变种之一，具备长期演化而来的高对抗性。

需特别关注 QHooPlayer家族，其在本月整体威胁影响力中占比高达40%，且近半年持续高度活跃，是当前首要的移动端安全威胁。

病毒家族详情如下：

Trojan/Android.UjcsSpy.b（28.09%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.QHooPlayer.a（18.26%）伪装成色情应用（如“xx视频”），运行下载子包，子包会申请无障碍服务，拦截短信等隐私信息，远控执行唤醒屏幕、截图等操作。

Trojan/Android.QHooPlayer.c（14.52%）该程序安装无图标，允许申请无障碍服务，监听通知栏消息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.QHooPlayer.b（10.06%）该程序运行申请无障碍服务，拦载获取短信等隐私信息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.WXALpass.d（8.23%）该样本伪装成色情相关应用，运行后释放恶意子包，执行窃取手机设备信息、短信、密码等功能，会造成用户隐私泄露、财产损失。

Trojan/Android.ORCASpy.b（7.33%）伪装成正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付密码以及锁屏密码。

Trojan/Android.Dropper.fo（4.46%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.Dropper.j（4.28%）该程序运行后会释放子包，警惕该软件私自下载安装软件，造成用户流量等资费消耗。

Trojan/Android.MTscam.a（2.54%）伪装成会议、客服等应用，请求开启无障碍服务，远程通过屏幕共享、模拟点击实现对用户设备的操作控制，可能会盗刷用户金融账户等，存在造成用户财产损失、隐私泄露的严重风险。

Trojan/Android.Nakedchat.hn（2.23%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

本月移动端银行木马家族TOP5如下图：

移动端银行木马TOP5本月新增两个家族FakeBank.aw和GBanker.in：

Trojan/Android.FakeBank.aw（1.8%）该应用伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。

Trojan/Android.GBanker.in（1.8%）该程序为一个恶意子包，运行后改变程序图标，启动用户设备安装的钱包应用，自动点击操作，同时获取用户短信、通讯录等隐私内容，导致用户隐私泄露。

FakeBank.av活跃度占比 78.56%，继续稳居榜首，主要通过仿冒知名银行应用进行传播，特征显著。若用户不慎安装，将面临严重的财产损失风险。强烈建议用户务必从官方应用市场下载银行类应用，避免安装任何来源不明的应用。

TOP3木马家族详情如下：

Trojan/Android.FakeBank.av（78.56%）该家族多伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。

Trojan/Android.nbank.g（15.03%）伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.GBanker.gx（2.81%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

本月间谍木马家族活跃趋势如下图：

移动间谍木马家族TOP5与上月一致。

Trojan/Android.UjcsSpy.b影响终端高达76.76%，样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.ORCASpy.b（20.04%）伪装成正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像

Trojan/Android.ORCASpy.a（2.86%）仿冒知名应用，运行后诱导强制用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人信息、录音、键盘输入信息、支付密码、多种虚拟金融资产信息等隐私信息。

Trojan/Android.spymax.d（0.19%）运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（0.15%）Spymax变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

移动端攻击活动国内受害区域分布趋势如下图：

本月，排名前十的省份感染端量有所下降，下降均值为4.43%，降幅最大的三个省份为：广西（-6.19%）、浙江（-5.89%）和江苏（-5.77%）。

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。