Развитие информационных угроз во втором квартале 2025 года. Мобильная статистика

Развитие информационных угроз во втором квартале 2025 года. Мобильная статистика
Развитие информационных угроз во втором квартале 2025 года. Статистика по ПК

Мобильная часть квартального отчета по информационным угрозам содержит статистику по вредоносному, рекламному и потенциально нежелательному ПО для Android, а также описание наиболее интересных угроз для Android и iOS, найденных за отчетный период. Статистика основана на анализе уведомлений о срабатывании продуктов «Лаборатории Касперского» на устройствах пользователей, давших согласие на передачу анонимизированных данных в Kaspersky Security Network.

Цифры квартала

По данным Kaspersky Security Network, во втором квартале 2025 года:

• наши решения предотвратили 10,71 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;
• самой распространенной угрозой для мобильных устройств стали троянцы — с ними стокнулось 31,69% пользователей;
• было выявлено чуть менее 143 тысяч вредоносных установочных пакетов, из которых:
  • 42 220 пакетов относилось к мобильным банковским троянцам;
  • 695 пакетов — к мобильным троянцам-вымогателям.

Особенности квартала

Число атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО снизилось до 10,71 млн.

Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q4 2023 — Q2 2025 (скачать)

Такая динамика в основном обусловлена уменьшением активности RiskTool.AndroidOS.SpyLoan. Это приложения, обычно связанные с микрофинансовыми организациями (МФО) и содержащие потенциально опасный фреймворк для слежки за заемщиком и сбора его данных — например, списка контактов. Как ни странно, такие приложения встречались предустановленными на некоторых устройствах.

Во втором квартале было найдено новое вредоносное приложение для Android и iOS, похищающее изображения из галереи. Нам удалось установить, что эта кампания связана с обнаруженным ранее SparkCat, поэтому она получила название SparkKitty.

Поддельная страница магазина приложений, с которой распространяется SparkKitty

Как и его «старший брат», новый зловред, вероятнее всего, охотится за кодами восстановления доступа к криптокошелькам, которые пользователь сохранил в виде снимков экрана.

Необычной находкой квартала стал Trojan-DDoS.AndroidOS.Agent.a. В приложения для просмотра порнографического контента злоумышленники встроили SDK для проведения динамически настраиваемых DDoS-атак. Троянец позволял отправлять на нужные злоумышленнику адреса определенные данные с заданной частотой. Построение DDoS-ботнета из мобильных устройств с установленными порнографическими приложениями может показаться сомнительной затеей с точки зрения эффективности и мощности атак — но, видимо, киберпреступники нашли применение такому подходу.

Также во втором квартале мы встретили поддельный VPN-клиент Trojan-Spy.AndroidOS.OtpSteal.a, который угоняет аккаунты пользователей. Вместо заявленных функций он перехватывает OTP-коды от различных мессенджеров и соцсетей с помощью сервиса прослушивания уведомлений (Notification Listener) и отправляет их в Telegram-чат злоумышленников посредством бота.

Статистика мобильных угроз

Число образцов вредоносного и потенциально нежелательного ПО для Android снизилось относительно первого квартала и составило 142 762 установочных пакета.

Количество обнаруженных вредоносных и потенциально нежелательных установочных пакетов, Q2 2024 — Q2 2025 (скачать)

Распределение детектируемых установочных пакетов по типам во втором квартале выглядело следующим образом:

Распределение детектируемых мобильных программ по типам, Q1* — Q2 2025 (скачать)

*Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

На первом месте остались банковские троянцы, доля которых выросла относительно первого квартала. Среди них по-прежнему преобладает семейство Mamont. А вот троянцы-шпионы опустились на пятое место. Это связано с тем, что после всплеска в первом квартале вновь снизилось число APK-файлов Trojan-Spy.AndroidOS.Agent.akg, похищающего SMS. Также уменьшилось количество файлов-шпионов Agent.amw, представляющих собой поддельные казино.

На втором и третьем месте по распространенности находятся нежелательные приложения типа RiskTool и рекламное ПО, соответственно, а на четвертом — троянцы, среди которых больше всего файлов относится к семейству Triada.

Доля* пользователей, атакованных определенным типом вредоносных или потенциально нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», Q1 — Q2 2025 (скачать)

* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.

Распределение атакованных пользователей близко к предыдущему кварталу. Рост доли бэкдоров связан с обнаружением предустановленного зловреда Backdoor.Triada.z. Среди рекламного ПО выросла доля пользователей, атакованных семейством HiddenAd.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».

Во втором квартале заметно снизилась активность скам-приложений Fakemoney, однако они все еще остаются на первом месте. Почти все остальные позиции заняты модификациями популярного банковского троянца Mamont, предустановленными троянцами Triada и Dwphon и модифицированными мессенджерами со встроенным троянцем Triada (Triada.fe, Triada.gn, Triada.ga, Triada.gs).

Региональное вредоносное ПО

В данном разделе мы описываем вредоносное ПО, активное преимущественно в определенных странах.

* Страна с наибольшей активностью вредоносной программы.
** Доля уникальных пользователей, столкнувшихся с данной модификацией троянца в указанной стране, от всех атакованных этой же модификацией пользователей мобильных решений «Лаборатории Касперского».

Помимо типовых для этого раздела банковских троянцев Coper, атакующих пользователей в Турции, и Rewardsteal, активных в Индии, в список попали нацеленные на Узбекистан поддельные приложения для поиска работы Fakeapp.hy и Piom.bkzj. собирают персональные данные пользователей. В Бразилии же орудовали новые дропперы Pylcasa. Они проникают в Google Play, мимикрируя под несложные приложения (такие, как калькулятор), однако при запуске открывают получаемый от злоумышленников URL аналогично троянцам семейства Fakemoney. Такие URL-адреса могут вести на сайты нелегальных казино или фишинговые страницы.

Мобильные банковские троянцы

Число банковских троянцев, обнаруженных во втором квартале 2025 года, было несколько ниже, чем в первом, однако значительно превышало показатели 2024 года. Всего решения «Лаборатории Касперского» выявили 42 220 установочных пакетов этого типа.

Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q2 2024 — Q2 2025 (скачать)

Основную массу установочных пакетов мобильных банковских троянцев по-прежнему составляют различные модификации Mamont (57,7%). По доле атакованных пользователей Mamont также выдавил своих конкурентов и занял практически все позиции в списке самых распространенных банковских троянцев.

TOP 10 мобильных банкеров

Заключение

Во втором квартале 2025 года число атак с использованием вредоносного, рекламного и нежелательного ПО снизилось относительно первого квартала. При этом самыми распространенными угрозами остались троянцы и банковские троянцы, в частности очень активное семейство Mamont. Кроме того, квартал запомнился обнаружением уже второго за 2025 год троянца-шпиона, сумевшего проникнуть в App Store, а также поддельного VPN-клиента, ворующего OTP-коды, и DDoS-бота, скрывающегося в приложениях для просмотра порно.