移动端恶意软件感染呈现加速蔓延趋势。主要威胁类型为“资费消耗”和“流氓行为”，其中“远程控制”类恶意软件感染量激增。QHooPlayer家族恶意木马占据主导地位，具备远程控制及短信验证码窃取能力。手机银行木马中FakeBank.av木马持续活跃，样本多仿冒知名银行。活跃移动间谍软件多出自spymax家族。国内各省感染终端量环比上升均值为26.22%，浙江省、广东省和江苏省增幅尤为显著。

📈 移动端恶意软件感染呈现加速蔓延趋势，主要威胁类型为“资费消耗”和“流氓行为”，其中“远程控制”类恶意软件感染量激增。

🔍 QHooPlayer家族恶意木马占据主导地位，具备远程控制及短信验证码窃取能力，Trojan/Android.QHooPlayer.a和.b伪装成色情应用，通过无障碍服务拦截短信等隐私信息。

🏦 手机银行木马中FakeBank.av木马持续活跃，样本多仿冒知名银行，可能导致用户财产损失，用户应避免下载不明来源的应用。

🕵️‍♂️ 活跃移动间谍软件多出自spymax家族，如Trojan/Android.spymax.d和.i，能够窃取用户地理位置、wifi信息、私自拍照、录像等，造成用户隐私泄露。

🗺️ 国内各省感染终端量环比上升均值为26.22%，浙江省、广东省和江苏省增幅尤为显著，可能预示着恶意软件正在向高价值目标区域集中渗透。

AVL威胁情报团队 2025-06-16 10:03 四川

移动端恶意软件感染呈现加速蔓延趋势

安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪，移动端恶意软件主要分为8大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。

月度移动端常见恶意软件类型活跃趋势对比如下图：

当前移动端恶意软件趋势：以“资费消耗”和“流氓行为”为主导，“远程控制”类连月激增。

4月监测显示，主要威胁分布为“资费消耗”占比43.86%（最高），“流氓行为”类占比36.15（次高）。移动木马活跃度显著上升，8大类感染终端量均环比上升，其中“远程控制”+441.08% 和“恶意扣费”+642.71%表现突出。

本月移动端活跃恶意木马家族TOP10如下图：

移动端TOP10恶意木马家族监测显示，QHooPlayer家族本月占据主导地位，具备远程控制及短信验证码窃取能力。值得注意的是，本月榜单新增高危害木马家族Trojan/Android.MTscam.a，该木马不仅具备远程控制功能，还能实施屏幕控制操作，威胁等级较高。

Trojan/Android.QHooPlayer.a（43.99%）伪装成色情应用（如“夜猫视频”），运行下载子包，子包会申请无障碍服务，拦截短信等隐私信息，远控执行唤醒屏幕、截图等操作。

Trojan/Android.QHooPlayer.b（26.48%）该程序运行申请无障碍服务，拦载获取短信等隐私信息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.MTscam.a（5.41%）伪装成会议、客服等应用，请求开启无障碍服务，远程通过屏幕共享、模拟点击实现对用户设备的操作控制，可能会盗刷用户金融账户等，存在造成用户财产损失、隐私泄露的严重风险。

其余移动木马家族如下：

Trojan/Android.Dropper.fo（7.46%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.FakeWallet.f（3.64%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

Trojan/Android.Nakedchat.hn（3.41%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.MTCrackApp.a（3.08%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.FakeRoot.b（2.52%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

Trojan/Android.anleipay.e（2.20%）该家族多伪装成色情应用，运行后会有诱惑性内容诱导用户付费，应用内显示支付金额与实际支付金额不同，造成用户的财产损失。

Trojan/Android.Clipper.e（2.08%）运行后拦截受害者的聊天消息，并将任何加密货币钱包地址替换成属于攻击者的钱包地址，或者上传助记词、恢复短语等信息，使攻击者能够窃取受害者的加密货币资金。给用户造成隐私泄露和财产损失。

本月移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av，连续4月排名手机银行木马Top1，该家族多伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。样本仿冒知名银行特征显著，用户应避免下载不明来源的应用，从正规应用市场下载应用。

Trojan/Android.nbank.g（4.10%）伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.GBanker.in（1.88%）该程序为一个恶意子包，运行后改变程序图标，启动用户设备安装的钱包应用，自动点击操作，同时获取用户短信、通讯录等隐私内容，导致用户隐私泄露。

Trojan/Android.BankStealer.a（1.71%）该程序后台劫持用户短信，诱导用户购买服务从而窃取用户网上银行凭据和信用卡信息，并发送到控制服务器，造成用户信息泄露和财产损失。

本月间谍木马家族活跃趋势如下图：

Trojan/Android.spymax.d（26.30%）运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（25.65%）是Spymax的一个变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.TTctrl.a（25.20%）远控类型木马，该样本伪装成正常软件（如“有味食谱”“吉真万年历无广告版”），实际运行后从网络获取指令并执行，获取设备信息（网络状态、电池状态、锁屏密码等），设置允许应用自启动，开启通知监听，通过无障碍服务进行模拟点击、窃取应用界面信息，上传密码，可以进行盗刷等，造成用户隐私泄露并侵害用户金融安全。

Trojan/Android.BankerSpy.d本月占比12.18%，样本会伪装成安全防护类软件，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息和银行相关隐私信息，造成用户隐私泄露。

Trojan/Android.SpinOK.a（10.68%）该应用被植入恶意代码，安装后会上传设备指定文件目录下内容、剪贴板内容，可能导致隐私泄露。

移动端攻击活动国内受害区域分布趋势如下图：

受害区域分布检测数据显示，移动端恶意软件感染呈现加速蔓延趋势。

从环比数据来看，全国前10受害省份环比上月上升均值为26.22%，其中重点省份增幅尤为显著：浙江省以48.26%的环比增幅居首，其次为广东省（39.66%）和江苏省（32.47%）。值得警惕的是，这些经济发达省份的快速增长态势，可能预示着恶意软件正在向高价值目标区域集中渗透。

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。