Авторы
Развитие информационных угроз в первом квартале 2025 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2025 года. Статистика по ПК
Цифры квартала
По данным Kaspersky Security Network, в первом квартале 2025 года:
- предотвращено более 12 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;
- самой распространенной угрозой для мобильных устройств стали троянцы — 39,56% от всех обнаруженных угроз;
- было обнаружено свыше 180 тысяч вредоносных и потенциально нежелательных установочных пакетов, из которых:
- 49 273 пакета относились к мобильным банковским троянцам;
- 1520 пакетов — к мобильным троянцам-вымогателям.
Особенности квартала
Число атак на мобильные устройства под управлением Android с использованием вредоносного, рекламного и нежелательного ПО в первом квартале 2025 года увеличилось до 12 184 351.
Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q3 2023 — Q1 2025 (скачать)
Прирост обеспечен преимущественно активностью банковских троянцев Mamont и скам-приложений Fakemoney, а также обнаружением поддельных смартфонов популярных брендов с предустановленным бэкдором Triada, способным динамически загружать произвольные модули с сервера. Функциональность модулей Triada разнообразна. Они могут подменять URL-адреса в браузере, блокировать подключения к определенным серверам или похищать учетные записи в социальных сетях и мессенджерах, в том числе TikTok, WhatsApp, Line и Telegram.
Отдельно стоит отметить модуль, похищающий криптовалюту из кошельков пользователей. Мы отследили несколько кошельков мошенников, по которым можно предположить, что суммарно было украдено не менее 270 тысяч долларов. Только в валюте TRON мошенники смогли получить 182 тысячи:
График доходности TRON-кошельков злоумышленников (скачать)
В первом квартале также был обнаружен новый банковский троянец Trojan-Banker.AndroidOS.Bankurt.c, который маскируется под приложение для просмотра «пиратских» фильмов и атакует пользователей в Турции.
Этот троянец закрепляется в системе с помощью прав администратора устройства (DeviceAdmin), получает доступ к специальным возможностям (Accessibility), после чего позволяет злоумышленникам удаленно управлять устройством через VNC и похищать SMS-сообщения.
Статистика мобильных угроз
Число обнаруженных образцов вредоносного и потенциально нежелательного ПО для Android выросло по сравнению с показателем четвертого квартала 2024 года и составило 180 405.
Количество обнаруженных вредоносных и потенциально нежелательных установочных пакетов, Q1 2024 — Q1 2025 (скачать)
Если взглянуть на распределение детектируемых установочных пакетов по типам, то можно увидеть, что постоянные лидеры — RiskTool и рекламное ПО — в первом квартале опустились на третью и четвертую строчки соответственно. Самыми распространенными угрозами стали банковские троянцы (27,31%) и троянцы-шпионы (24,49%).
Распределение детектируемых мобильных программ по типам, Q4 2024* — Q1 2025 (скачать)
* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.
Это связано с тем, что в первом квартале резко увеличилось количество установочных пакетов банковского троянца Mamont. Среди троянцев-шпионов больше всего установочных пакетов относилось к зловреду Agent.akg, который похищает SMS-сообщения.
Доля* пользователей, атакованных определенным типом вредоносных или потенциально нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», Q1 2024 – Q1 2025 (скачать)
* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.
В первом квартале резко увеличилось число пользователей, атакованных троянцами. Это обусловлено обнаружением множества устройств с предустановленным троянцем Triada, а также ростом активности скам-приложений Fakemoney, выманивающих персональные данные под предлогом легкого заработка. Рост числа пользователей, столкнувшихся с банковскими троянцами, вызван, опять же, активностью семейства Mamont.
TOP 20 мобильных вредоносных программ
В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как рекламное ПО и RiskTool.
| Вердикт | %* Q4 2024 | %* Q1 2025 | Разница в п. п. | Изменение позиции |
| Trojan.AndroidOS.Fakemoney.v | 30,33 | 26,41 | –3,92 | 0 |
| DangerousObject.Multi.Generic. | 13,26 | 19,30 | +6,04 | 0 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,08 | 15,99 | +15,91 | |
| Trojan-Banker.AndroidOS.Mamont.da | 1,56 | 11,21 | +9,65 | +14 |
| Trojan-Banker.AndroidOS.Mamont.bc | 10,79 | 7,61 | –3,17 | –2 |
| Backdoor.AndroidOS.Triada.z | 0,00 | 4,71 | +4,71 | |
| Trojan.AndroidOS.Triada.hf | 0,00 | 3,81 | +3,81 | |
| Trojan.AndroidOS.Triada.fe | 0,00 | 3,48 | +3,47 | |
| Trojan.AndroidOS.Triada.gn | 2,56 | 2,68 | +0,13 | +3 |
| Trojan-Clicker.AndroidOS.Agent.bh | 0,51 | 2,58 | +2,07 | +27 |
| Trojan-Banker.AndroidOS.Mamont.ef | 0,00 | 2,44 | +2,44 | |
| Trojan-Downloader.AndroidOS.Dwphon.a | 3,40 | 2,19 | –1,21 | –2 |
| Trojan.AndroidOS.Fakemoney.u | 0,02 | 1,88 | +1,86 | |
| Trojan-Banker.AndroidOS.Agent.rj | 3,63 | 1,86 | –1,77 | –7 |
| Trojan-Banker.AndroidOS.Mamont.ek | 0,00 | 1,83 | +1,83 | |
| Trojan.AndroidOS.Triada.ga | 4,84 | 1,74 | –3,10 | –11 |
| Trojan-Banker.AndroidOS.Mamont.eb | 0,00 | 1,59 | +1,59 | |
| Trojan-Banker.AndroidOS.Mamont.cb | 1,09 | 1,56 | +0,47 | +4 |
| Trojan.AndroidOS.Triada.gs | 3,63 | 1,47 | –2,16 | –13 |
| Trojan-Banker.AndroidOS.Mamont.dn | 0,00 | 1,46 | +1,46 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».
Почти весь список заняли упомянутые выше скам-приложения Fakemoney, различные модификации банковских троянцев Mamont и предустановленные зловреды Backdoor.AndroidOS.Triada.z и Trojan.AndroidOS.Triada.hf. Также в числе самых распространенных вредоносных программ для Android остались модифицированные мессенджеры со встроенным троянцем Triada (Triada.fe, Triada.gn, Triada.ga, Triada.gs) и предустановленный троянец Dwphon. Интересно попадание в список образца Trojan-Clicker.AndroidOS.Agent.bh — это поддельный блокировщик рекламы, который, наоборот, накручивает просмотры рекламы.
Региональное вредоносное ПО
В этом разделе мы описываем вредоносное ПО, активное преимущественно в определенных странах.
| Вердикт | Страна* | %** |
| Trojan-Banker.AndroidOS.Coper.a | Турция | 96,85 |
| Trojan-Banker.AndroidOS.Rewardsteal.ks | Индия | 94,36 |
| Trojan-Banker.AndroidOS.Coper.c | Турция | 94,29 |
| Trojan-Banker.AndroidOS.Rewardsteal.jp | Индия | 93,78 |
| Trojan-Banker.AndroidOS.BrowBot.w | Турция | 92,81 |
| Trojan-Banker.AndroidOS.Rewardsteal.ib | Индия | 92,79 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | Индия | 92,34 |
| Trojan-Spy.AndroidOS.SmForw.ko | Индия | 90,71 |
| Trojan-Banker.AndroidOS.UdangaSteal.k | Индия | 90,12 |
| Trojan-Dropper.AndroidOS.Hqwar.bf | Турция | 88,34 |
| Trojan-Banker.AndroidOS.Agent.rg | Индия | 86,97 |
| Trojan-Dropper.AndroidOS.Agent.sm | Турция | 82,54 |
* Страна с наибольшей активностью вредоносной программы.
** Доля уникальных пользователей, столкнувшихся с данной модификацией троянца в указанной стране, от всех атакованных этой же модификацией пользователей мобильных решений «Лаборатории Касперского».
В первом квартале «избирательного» вредоносного ПО оказалось несколько меньше, чем раньше. В Турции, как обычно, были распространены банковские троянцы: обладающий RAT-функциональностью Coper, который позволяет злоумышленникам красть деньги при помощи удаленного управления устройством; похищающий SMS-сообщения BrowBot; дропперы банкеров Hqwar и Agent.sm. Пользователи в Индии сталкивались с банковскими троянцами Rewardsteal, крадущими платежные данные под предлогом раздачи денег. Также в Индию пришли распространенный ранее в Индонезии троянец UdangaSteal и троянец SmForw.ko, который пересылает входящие SMS-сообщения на чужой номер.
Мобильные банковские троянцы
Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q1 2024 — Q1 2025 (скачать)
Количество установочных пакетов банкеров выросло в основном за счет троянца Mamont. По всей видимости, его авторы придерживаются сервисной модели, позволяющей любому мошеннику за деньги сгенерировать кастомизированную версию, из-за чего разные не связанные между собой киберпреступники распространяют уникальные сборки Mamont.
По доле атакованных пользователей также лидируют преимущественно различные модификации Mamont.
TOP 10 мобильных банкеров
| Вердикт | %* Q4 2024 | %* Q1 2025 | Разница в п. п. | Изменение позиции |
| Trojan-Banker.AndroidOS.Mamont.db | 0,41 | 38,07 | +37,67 | +18 |
| Trojan-Banker.AndroidOS.Mamont.da | 7,71 | 26,68 | +18,98 | +1 |
| Trojan-Banker.AndroidOS.Mamont.bc | 53,25 | 18,12 | –35,13 | –2 |
| Trojan-Banker.AndroidOS.Mamont.ef | 0,00 | 5,80 | +5,80 | |
| Trojan-Banker.AndroidOS.Agent.rj | 17,93 | 4,43 | –13,50 | –3 |
| Trojan-Banker.AndroidOS.Mamont.ek | 0,00 | 4,37 | +4,37 | |
| Trojan-Banker.AndroidOS.Mamont.eb | 0,00 | 3,80 | +3,80 | |
| Trojan-Banker.AndroidOS.Mamont.cb | 5,39 | 3,71 | –1,67 | –4 |
| Trojan-Banker.AndroidOS.Mamont.dn | 0,00 | 3,48 | +3,48 | |
| Trojan-Banker.AndroidOS.Creduz.q | 0,00 | 1,43 | +1,43 |
Авторы
От тех же авторов
В той же категории
Развитие информационных угроз в первом квартале 2025 года. Мобильная статистика