月度移动端常见恶意软件类型活跃趋势对比如下图：

本月监测数据显示，恶意软件整体活跃度有所下降。除“远程控制”（+33.67%）和“恶意扣费”（+53.51%）两类呈现增长态势外，其余类型影响终端量普遍出现负增长。其中降幅最大的三类为：“流氓行为”（-13.76%）、“隐私窃取”（-10.62%）及“资费消耗”（-10.19%）。

本月移动端活跃恶意木马家族TOP10如下图：

本月移动恶意木马榜单新增两个危害较大的木马家族WXALpass.d和UjcsSpy.b，分列第三、四位。QHooPlayer家族仍居榜单前二位，影响终端量占比52%，环比呈下降趋势。综合分析近几个月TOP10家族构成，仿冒色情类样本构成主要威胁。

Top10新增木马家族如下：

Trojan/Android.WXALpass.d（17.84%）该样本伪装成色情相关应用，运行后释放恶意子包，执行窃取手机设备信息、短信、密码等功能，会造成用户隐私泄露、财产损失，建议立即卸载。

 Trojan/Android.UjcsSpy.b（12.83%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

其余家族情况如下：

Trojan/Android.QHooPlayer.a（33.01%）伪装成色情应用（如“xx视频”），运行下载子包，子包会申请无障碍服务，拦截短信等隐私信息，远控执行唤醒屏幕、截图等操作。本月活跃度较高的恶意样本如下：

Trojan/Android.QHooPlayer.b（19.63%）该程序运行申请无障碍服务，拦载获取短信等隐私信息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。分析发现，该变种的样本名称多采用英文，如“xxPlayer”，活跃度较高的恶意样本如下：

Trojan/Android.Dropper.fo（5.08%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.MTscam.a（3.03%）伪装成会议、客服等应用，请求开启无障碍服务，远程通过屏幕共享、模拟点击实现对用户设备的操作控制，可能会盗刷用户金融账户等，存在造成用户财产损失、隐私泄露的严重风险。

Trojan/Android.Nakedchat.hn（2.61%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.FakeWallet.f（2.05%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

Trojan/Android.MTCrackApp.a（1.99%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.FakeRoot.b（1.95%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

本月移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av（77.14%）连续6月排名手机银行木马Top1，该家族多伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。

Trojan/Android.nbank.g（16.81%）伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.FakeBank.n（2.35%） 伪装浦发银行界面，诱骗用户输入手机号码，银行卡查询密码及取款密码，监听用户信箱变化，并上传服务器，造成用户隐私泄漏。

Trojan/Android.GBanker.gx（2.02%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.GBanker.in（1.68%）该程序为一个恶意子包，运行后改变程序图标，启动用户设备安装的钱包应用，自动点击操作，同时获取用户短信、通讯录等隐私内容，导致用户隐私泄露，建议立即卸载。

本月间谍木马家族活跃趋势如下图：

Trojan/Android.UjcsSpy.b，本月跃居第一的间谍木马家族，影响终端占比高达75%，样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。活跃样本如下：

Trojan/Android.ORCASpy.a（15.00%）该家族样本仿冒伪装成知名应用，运行后诱导强制用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人信息、录音、键盘输入信息、支付密码、多种虚拟金融资产信息等隐私信息，给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.spymax.d（4.96%）运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（2.88%）是Spymax的一个变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.BankerSpy.d（2.06%）样本会伪装成安全防护类软件，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息和银行相关隐私信息，造成用户隐私泄露。

国内恶意软件感染终端主要集中分布于中东部及沿海省份。本月，感染量排名前十（TOP 10）的省份继续呈现下降态势，平均降幅达10.02%。其中，降幅最大的三个省份依次为：江苏（-11.15%）、浙江（-11.05%）和河北（-11.00%）。

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。