Авторы
Развитие информационных угроз в третьем квартале 2025 года. Мобильная статистика
Развитие информационных угроз в третьем квартале 2025 года. Статистика по ПК
Предисловие
В третьем квартале 2025 года мы изменили методику подсчета статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
Для демонстрации динамики между отчетными периодами мы также пересчитали данные за предыдущие кварталы, поэтому они могут значительно отличаться от опубликованных ранее. При этом последующие отчеты будут формироваться по новой методике, что позволит корректно сопоставлять данные с представленными в этой статье.
Kaspersky Security Network (KSN) — это глобальная сеть для анализа анонимизированной информации об угрозах, добровольно предоставленной пользователями решений «Лаборатории Касперского». Статистика в этом отчете основана на данных KSN, если явно не указано иного.
Цифры квартала
По данным Kaspersky Security Network, в третьем квартале 2025 года:
- предотвращено 3,47 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;
- среди вредоносного ПО для мобильных устройств самой распространенной угрозой стали троянцы — с ними столкнулись 15,78% от всех атакованных пользователей решений «Лаборатории Касперского»;
- было обнаружено более 197 тысяч вредоносных установочных пакетов, из которых:
- 52 723 пакета относились к мобильным банковским троянцам;
- 1564 пакета — к мобильным троянцам-вымогателям.
Особенности квартала
Число атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного ПО, подсчитанное по обновленным правилам, в третьем квартале составило 3,47 млн, что незначительно меньше, чем в предыдущий отчетный период, когда было выявлено 3,51 млн атак.
Количество атак на пользователей мобильных решений «Лаборатории Касперского», Q2 2024 — Q3 2025 (скачать)
В начале квартала наш пользователь пожаловался на рекламу во всех браузерах на смартфоне. Мы провели исследование и обнаружили новую версию предустановленного бэкдора BADBOX. Этот бэкдор представляет собой многоуровневый загрузчик, расположенный во вредоносной нативной библиотеке librescache.so, которую подгружал системный фреймворк. За счет этого копия троянца попадала в каждый запущенный на устройстве процесс.
Также интересной находкой стал Trojan-Downloader.AndroidOS.Agent.no, встроенный в моды для мессенджеров и других приложений. Он скачивал на устройство Trojan-Clicker.AndroidOS.Agent.bl, который получал от сервера URL, где показывалась реклама, открывал его в невидимом окне WebView и с помощью алгоритмов на основе машинного обучения находил и нажимал кнопку закрытия. Таким образом мошенники использовали устройство пользователя для накрутки просмотров рекламы.
Статистика мобильных угроз
В третьем квартале защитные решения «Лаборатории Касперского» обнаружили 197 738 образцов вредоносного и нежелательного ПО для Android — на 55 тысяч больше, чем в предыдущий отчетный период.
Количество обнаруженных вредоносных и потенциально нежелательных установочных пакетов, Q3 2024 — Q3 2025 (скачать)
Обнаруженные установочные пакеты распределялись по типам следующим образом:
Распределение детектируемых мобильных программ по типам, Q2*–Q3 2025 (скачать)
* Изменения в методике подсчета статистики не влияют на эту метрику, однако данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.
Доля банковских троянцев несколько снизилась, однако не столько за счет уменьшения их числа, сколько за счет увеличения числа других вредоносных и нежелательных пакетов. Тем не менее банковские троянцы, среди которых по-прежнему преобладают пакеты Mamont, все еще занимают первое место. С ними связан и рост числа троянцев-дропперов — в данном случае речь идет преимущественно о дропперах для банковских троянцев.
Доля* пользователей, атакованных определенным типом вредоносных или потенциально нежелательных программ, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», Q2–Q3 2025 (скачать)
* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.
По числу атакованных пользователей на первом месте с большим отрывом от второго находятся рекламные приложения. Самые популярные из них — HiddenAd (56,3%) и MobiDash (27,4%). Вторую позицию занимают нежелательные приложения типа RiskTool, чей рост обеспечен преимущественно распространением модуля Revpn, монетизирующего доступ пользователя к интернету путем превращения его устройства в выходную точку VPN. Самыми популярными троянцами ожидаемо остаются Triada (55,8%) и Fakemoney (24,6%). Доля пользователей, столкнувшихся с ними, не сильно изменилась.
TOP 20 мобильных вредоносных программ
В приведенный ниже рейтинг вредоносных программ не входят такие потенциально опасные или нежелательные программы, как RiskTool и рекламное ПО.
| Вердикт | %* Q2 2025 | %* Q3 2025 | Разница в п. п. | Изменение позиции |
| Trojan.AndroidOS.Triada.ii | 0,00 | 13,78 | +13,78 | |
| Trojan.AndroidOS.Triada.fe | 12,54 | 10,32 | –2,22 | –1 |
| Trojan.AndroidOS.Triada.gn | 9,49 | 8,56 | –0,93 | –1 |
| Trojan.AndroidOS.Fakemoney.v | 8,88 | 6,30 | –2,59 | –1 |
| Backdoor.AndroidOS.Triada.z | 3,75 | 4,53 | +0,77 | +1 |
| DangerousObject.Multi.Generic. | 4,39 | 4,52 | +0,13 | –1 |
| Trojan-Banker.AndroidOS.Coper.c | 3,20 | 2,86 | –0,35 | +1 |
| Trojan.AndroidOS.Triada.if | 0,00 | 2,82 | +2,82 | |
| Trojan-Dropper.Linux.Agent.gen | 3,07 | 2,64 | –0,43 | +1 |
| Trojan-Dropper.AndroidOS.Hqwar.cq | 0,37 | 2,52 | +2,15 | +60 |
| Trojan.AndroidOS.Triada.hf | 2,26 | 2,41 | +0,14 | +2 |
| Trojan.AndroidOS.Triada.ig | 0,00 | 2,19 | +2,19 | |
| Backdoor.AndroidOS.Triada.ab | 0,00 | 2,00 | +2,00 | |
| Trojan-Banker.AndroidOS.Mamont.da | 5,22 | 1,82 | –3,40 | –10 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 1,80 | +1,80 | |
| Trojan.AndroidOS.Triada.ga | 3,01 | 1,71 | –1,29 | –5 |
| Trojan.AndroidOS.Boogr.gsh | 1,60 | 1,68 | +0,08 | 0 |
| Trojan-Downloader.AndroidOS.Agent.nq | 0,00 | 1,63 | +1,63 | |
| Trojan.AndroidOS.Triada.hy | 3,29 | 1,62 | –1,67 | –12 |
| Trojan-Clicker.AndroidOS.Agent.bh | 1,32 | 1,56 | +0,24 | 0 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».
Верхние позиции в списке самого распространенного вредоносного ПО снова занимают модифицированные мессенджеры Triada.ii, Triada.fe, Triada.gn и другие. Предустановленный бэкдор Triada.z занял пятую строчку, сразу после приложений Fakemoney, собирающих персональные данные пользователей якобы для предоставления выплат или финансовых услуг (разумеется, поддельных). Попавший на девятую строчку дроппер Agent.gen — обфусцированный ELF-файл, который связан с расположившимся сразу за DangerousObject.Multi.Generic банковским троянцем Coper.c.
Региональное вредоносное ПО
В этом разделе мы описываем вредоносное ПО, нацеленное преимущественно на пользователей из определенных стран.
| Вердикт | Страна* | %** |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Турция | 97,22 |
| Trojan-Banker.AndroidOS.Coper.c | Турция | 96,35 |
| Trojan-Dropper.AndroidOS.Agent.sm | Турция | 95,10 |
| Trojan-Banker.AndroidOS.Coper.a | Турция | 95,06 |
| Trojan-Dropper.AndroidOS.Agent.uq | Индия | 92,20 |
| Trojan-Banker.AndroidOS.Rewardsteal.qh | Индия | 91,56 |
| Trojan-Banker.AndroidOS.Agent.wb | Индия | 85,89 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ab | Индия | 84,14 |
| Trojan-Dropper.AndroidOS.Banker.bd | Индия | 82,84 |
| Backdoor.AndroidOS.Teledoor.a | Иран | 81,40 |
| Trojan-Dropper.AndroidOS.Hqwar.gy | Турция | 80,37 |
| Trojan-Dropper.AndroidOS.Banker.ac | Индия | 78,55 |
| Trojan-Ransom.AndroidOS.Rkor.ii | Германия | 76,90 |
| Trojan-Dropper.AndroidOS.Banker.bg | Индия | 75,12 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | Индонезия | 75,00 |
| Trojan-Dropper.AndroidOS.Banker.bc | Индия | 74,73 |
| Backdoor.AndroidOS.Teledoor.c | Иран | 70,33 |
* Страна с наибольшей активностью вредоносной программы.
** Доля уникальных пользователей, столкнувшихся с данной модификацией троянца в указанной стране, от всех атакованных этой же модификацией пользователей мобильных решений «Лаборатории Касперского».
В Турции продолжают орудовать банковские троянцы, в первую очередь Coper. Индийские пользователи также привлекают злоумышленников, распространяющих ПО этого типа. В частности, в стране активен банкер Rewardsteal. В Иране развернули свою деятельность бэкдоры Teledoor, встроенные в поддельный клиент для Telegram.
Интересен всплеск числа атак троянцев-вымогателей Rkor в Германии. В предыдущих кварталах их активность была заметно ниже — видимо, мошенники нашли новый канал для доставки вредоносных приложений пользователям.
Мобильные банковские троянцы
В третьем квартале 2025 года было обнаружено 52 723 установочных пакета мобильных банковских троянцев — на 10 тысяч пакетов больше, чем во втором квартале.
Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», Q3 2024 — Q3 2025 (скачать)
Доля троянца Mamont в общей массе банкеров снова незначительно выросла и составила 61,85%. Однако по доле атакованных пользователей на первое место вышел Coper, в большинстве атак которого используется одна и та же модификация. Варианты Mamont заняли второе место и ниже, поскольку в разных атаках использовались разные образцы. Тем не менее суммарное количество пользователей, атакованных этим семейством, больше, чем у Coper.
TOP 10 мобильных банкеров
| Вердикт | %* Q2 2025 | %* Q3 2025 | Разница в п. п. | Изменение позиции |
| Trojan-Banker.AndroidOS.Coper.c | 13,42 | 13,48 | +0,07 | +1 |
| Trojan-Banker.AndroidOS.Mamont.da | 21,86 | 8,57 | –13,28 | –1 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 8,48 | +8,48 | |
| Trojan-Banker.AndroidOS.Mamont.gy | 0,00 | 6,90 | +6,90 | |
| Trojan-Banker.AndroidOS.Mamont.hl | 0,00 | 4,97 | +4,97 | |
| Trojan-Banker.AndroidOS.Agent.ws | 0,00 | 4,02 | +4,02 | |
| Trojan-Banker.AndroidOS.Mamont.gg | 0,40 | 3,41 | +3,01 | +35 |
| Trojan-Banker.AndroidOS.Mamont.cb | 3,03 | 3,31 | +0,29 | +5 |
| Trojan-Banker.AndroidOS.Creduz.z | 0,17 | 3,30 | +3,13 | +58 |
| Trojan-Banker.AndroidOS.Mamont.fz | 0,07 | 3,02 | +2,95 | +86 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».
Мобильные троянцы-вымогатели
В связи с активизацией мобильных троянцев-вымогателей в Германии, о которой мы упоминали в разделе «Региональное вредоносное ПО», мы также решили привести статистику по этому типу угроз. В третьем квартале число установочных пакетов троянцев-вымогателей выросло более чем вдвое и составило 1564.
| Вердикт | %* Q2 2025 | %* Q3 2025 | Разница в п. п. | Изменение позиции |
| Trojan-Ransom.AndroidOS.Rkor.ii | 7,23 | 24,42 | +17,19 | +10 |
| Trojan-Ransom.AndroidOS.Rkor.pac | 0,27 | 16,72 | +16,45 | +68 |
| Trojan-Ransom.AndroidOS.Congur.aa | 30,89 | 16,46 | –14,44 | –1 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 30,98 | 16,39 | –14,59 | –3 |
| Trojan-Ransom.AndroidOS.Rkor.it | 0,00 | 10,09 | +10,09 | |
| Trojan-Ransom.AndroidOS.Congur.cw | 15,71 | 9,69 | –6,03 | –3 |
| Trojan-Ransom.AndroidOS.Congur.ap | 15,36 | 9,16 | –6,20 | –3 |
| Trojan-Ransom.AndroidOS.Small.cj | 14,91 | 8,49 | –6,42 | –3 |
| Trojan-Ransom.AndroidOS.Svpeng.snt | 13,04 | 8,10 | –4,94 | –2 |
| Trojan-Ransom.AndroidOS.Svpeng.ah | 13,13 | 7,63 | –5,49 | –4 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных троянцами-вымогателями пользователей мобильных защитных решений «Лаборатории Касперского».
Авторы
От тех же авторов
В той же категории
Развитие информационных угроз в третьем квартале 2025 года. Мобильная статистика