月度移动端常见恶意软件类型活跃趋势对比如下图：

监测数据显示，本月八大类恶意软件均呈现下降趋势，环比下降均值为18.53%，其中降幅前三为：“远程控制”-30.44%、“系统破坏”-27.00%和“隐私窃取”-24.18%。

本月移动端活跃恶意木马家族TOP10如下图：

本月恶意软件家族活动态势呈现结构性变化，具体表现如下：

QHooPlayer家族活跃度分化，整体活跃度呈下降趋势。其中，QHooPlayer.a 变种威胁排名下降4位；QHooPlayer.b 变种则跌出威胁榜单前十。然而，QHooPlayer.c 变种因其新增的“隐藏图标”功能显著提升了驻留隐蔽性，威胁排名逆势上升一位，持续构成高风险，需重点关注其横向渗透趋势。

ORCASpy与UjcsSpy家族持续高位威胁，ORCASpy.b 本月威胁排名上升3位，活动频繁。而UjcsSpy.b 已连续两个月维持威胁榜单首位，表明其传播渠道有效且自身规避检测能力较强，是目前需要重点关注的顶级威胁。

TOP10家族情况如下：

Trojan/Android.UjcsSpy.b（26.24%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.QHooPlayer.c（23.37%）该程序安装无图标，允许申请无障碍服务，监听通知栏消息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.ORCASpy.b（12.94%）伪装成正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付密码以及锁屏密码。

Trojan/Android.WXALpass.d（10.44%）该样本伪装成色情相关应用，运行后释放恶意子包，执行窃取手机设备信息、短信、密码等功能，会造成用户隐私泄露、财产损失。

Trojan/Android.Dropper.j（7.16%）该程序运行后会释放子包，警惕该软件私自下载安装软件，造成用户流量等资费消耗。

Trojan/Android.QHooPlayer.a（6.05%）伪装成色情应用（如“xx视频”），运行下载子包，子包会申请无障碍服务，拦截短信等隐私信息，远控执行唤醒屏幕、截图等操作。

Trojan/Android.Dropper.fo（5.20%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.MTscam.a（3.31%）伪装成会议、客服等应用，请求开启无障碍服务，远程通过屏幕共享、模拟点击实现对用户设备的操作控制，可能会盗刷用户金融账户等，存在造成用户财产损失、隐私泄露的严重风险。

Trojan/Android.Nakedchat.hn（3.09%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.anleipay.e（2.21%）该家族多伪装成色情应用，运行后会有诱惑性内容诱导用户付费，应用内显示支付金额与实际支付金额不同，造成用户的财产损失。

本月移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av（73.03%）该家族多伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。

Trojan/Android.nbank.g（22.35%）伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.GBanker.gx（2.12%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.GBanker.in（1.35%）该程序为一个恶意子包，运行后改变程序图标，启动用户设备安装的钱包应用，自动点击操作，同时获取用户短信、通讯录等隐私内容，导致用户隐私泄露。

Trojan/Android.FakeBank.n（1.16%） 伪装浦发银行界面，诱骗用户输入手机号码，银行卡查询密码及取款密码，监听用户信箱变化，并上传服务器，造成用户隐私泄漏。

本月间谍木马家族活跃趋势如下图：

当前移动间谍软件威胁格局呈高度集中态势。UjcsSpy.b 与 ORCASpy.b（本月影响力显著提升）构成一级威胁，而 SpyMax 等老牌家族已转化为次要的持续性风险。

Trojan/Android.UjcsSpy.b（65.06%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.ORCASpy.b（32.07%）伪装成正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付密码以及锁屏密码。

Trojan/Android.ORCASpy.a（2.48%）仿冒知名应用，运行后诱导强制用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人信息、录音、键盘输入信息、支付密码、多种虚拟金融资产信息等隐私信息。

Trojan/Android.spymax.d（0.23%）运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（0.17%）Spymax变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

移动端攻击活动国内受害区域分布趋势如下图：