Авторы
Начиная с третьего квартала 2025 года мы изменили методику подсчета статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
Для демонстрации динамики между отчетными периодами мы также пересчитали данные за предыдущий год, поэтому они могут значительно отличаться от опубликованных ранее. При этом последующие отчеты будут формироваться по новой методике, что позволит корректно сопоставлять данные с представленными в этой статье.
Kaspersky Security Network (KSN) — это глобальная сеть для анализа анонимизированной информации об угрозах, добровольно предоставленной пользователями решений «Лаборатории Касперского». Статистика в этом отчете основана на данных KSN, если явно не указано иного.
Цифры года
По данным Kaspersky Security Network, в 2025 году:
- Было предотвращено более 14 миллионов атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) — 62% от всех обнаруженных угроз.
- Было обнаружено более 815 тысяч вредоносных установочных пакетов, из которых 255 тысяч относились к мобильным банковским троянцам.
Особенности года
В 2025 году злоумышленники совершали в среднем около 1,17 миллиона атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО. Всего решения «Лаборатории Касперского» за год предотвратили 14 059 465 атак.
Количество атак на пользователей мобильных решений «Лаборатории Касперского», 2025 г. (скачать)
В 2025 году, помимо вредоносного ПО, упомянутого в предыдущих квартальных отчетах, было найдено множество других знаковых троянцев. В частности, в четвертом квартале мы обнаружили предустановленный бэкдор Keenadu. Он попадает в прошивки устройств на этапе сборки. Вредоносный код встраивается в libandroid_runtime.so — ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве. Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы. Функциональность Keenadu не ограничена, так как его вредоносные модули скачиваются динамически и могут обновляться.
Также исследователи кибербезопасности обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл. Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).
Еще одной интересной находкой 2025 года стал троянец-шпион LunaSpy.
Экран троянца LunaSpy, который распространяется под видом антивируса
Этот шпион, мимикрирующий под антивирусное ПО, ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также он может записывать звук с микрофона и видео с камеры устройства. Эта угроза в основном была нацелена на российских пользователей.
Статистика мобильных угроз
В 2025 году количество новых уникальных установочных пакетов снизилось по сравнению с предыдущим годом и составило 815 735. Если в 2024 году сокращение числа пакетов было не таким ярко выраженным, то в прошлом году этот показатель снизился почти на треть.
Количество обнаруженных вредоносных и нежелательных установочных пакетов для Android, 2022–2025 гг. (скачать)
Общее уменьшение числа обнаруженных пакетов обусловлено сокращением количества приложений из категории not-a-virus. При этом количество троянцев значительно выросло, что хорошо видно на распределении ниже.
Распределение найденных пакетов по типам
Распределение* детектируемых мобильных программ по типам, 2024 и 2025 гг. (скачать)
* Данные за предыдущий год могут отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.
Существенный рост числа приложений категорий Trojan-Banker и Trojan-Spy сопровождался уменьшением количества файлов AdWare и RiskTool.
Самыми популярными банковскими троянцами стали приложения Mamont (49,8% приложений) и Creduz (22,5%). Ведущие позиции среди назойливых реклам занимают MobiDash (39%), Adlo (27%) и HiddenAd (20%).
Доля* пользователей, атакованных определенным типом вредоносного или нежелательного ПО, от всех атакованных пользователей мобильных продуктов «Лаборатории Касперского», 2024 и 2025 гг. (скачать)
* Сумма может быть больше 100%, если одни и те же пользователи столкнулись с несколькими типами атак.
Вредоносные программы типа Trojan-Banker значительно нарастили свои показатели не только по числу файлов, но и по числу атак. Тем не менее они расположились на четвертой строчке, значительно уступая по числу атак вредоносным файлам категории Trojan: преимущественно различным модификациям Triada и Fakemoney.
TOP 20 мобильных вредоносных программ
В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и AdWare.
| Вердикт | %* 2024 | %* 2025 | Разница в п. п. | Изменение позиции |
| Trojan.AndroidOS.Triada.fe | 0,04 | 9,84 | +9,80 | |
| Trojan.AndroidOS.Triada.gn | 2,94 | 8,14 | +5,21 | +6 |
| Trojan.AndroidOS.Fakemoney.v | 7,46 | 7,97 | +0,51 | +1 |
| DangerousObject.Multi.Generic. | 7,73 | 5,83 | –1,91 | –2 |
| Trojan.AndroidOS.Triada.ii | 0,00 | 5,25 | +5,25 | |
| Trojan-Banker.AndroidOS.Mamont.da | 0,10 | 4,12 | +4,02 | |
| Trojan.AndroidOS.Triada.ga | 10,56 | 3,75 | –6,81 | –6 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,01 | 3,53 | +3,51 | |
| Backdoor.AndroidOS.Triada.z | 0,00 | 2,79 | +2,79 | |
| Trojan-Banker.AndroidOS.Coper.c | 0,81 | 2,54 | +1,72 | +35 |
| Trojan-Clicker.AndroidOS.Agent.bh | 0,34 | 2,48 | +2,14 | +74 |
| Trojan-Dropper.Linux.Agent.gen | 1,82 | 2,37 | +0,55 | +4 |
| Trojan.AndroidOS.Boogr.gsh | 5,41 | 2,06 | –3,35 | –8 |
| DangerousObject.AndroidOS.GenericML. | 2,42 | 1,97 | –0,45 | –3 |
| Trojan.AndroidOS.Triada.gs | 3,69 | 1,93 | –1,76 | –9 |
| Trojan-Downloader.AndroidOS.Agent.no | 0,00 | 1,87 | +1,87 | |
| Trojan.AndroidOS.Triada.hf | 0,00 | 1,75 | +1,75 | |
| Trojan-Banker.AndroidOS.Mamont.bc | 1,13 | 1,65 | +0,51 | +8 |
| Trojan.AndroidOS.Generic. | 2,13 | 1,47 | –0,66 | –6 |
| Trojan.AndroidOS.Triada.hy | 0,00 | 1,44 | +1,44 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей мобильных решений «Лаборатории Касперского».
Большую часть списка занимают троянцы семейства Triada, распространяющиеся в виде вредоносных модификаций популярных мессенджеров. Другой вариант заражения: жертве предлагают установить оригинальный мессенджер в «кастомизированную виртуальную среду», в которой якобы можно настраивать работу приложения. Скам-приложения Fakemoney, предлагающие жертвам якобы инвестировать средства либо получить поддельные выплаты, по-прежнему достаточно часто атакуют пользователей — они оказались на третьей строчке в нашей статистике. Банковские троянцы Mamont занимают 6-ю, 8-ю и 18-ю строчки по количеству атак. На девятую позицию попал предустановленный в прошивках некоторых устройств бэкдор Triada.
Региональное вредоносное ПО
В этом разделе мы описываем вредоносное ПО, атаки с использованием которого сконцентрированы в определенных странах.
| Вердикт | Страна* | %** |
| Trojan-Banker.AndroidOS.Coper.a | Турция | 95,74 |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Турция | 94,96 |
| Trojan.AndroidOS.Thamera.bb | Индия | 94,71 |
| Trojan-Proxy.AndroidOS.Agent.q | Германия | 93,70 |
| Trojan-Banker.AndroidOS.Coper.c | Турция | 93,42 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | Индия | 92,44 |
| Trojan-Banker.AndroidOS.Rewardsteal.jp | Индия | 92,31 |
| Trojan-Banker.AndroidOS.Rewardsteal.ib | Индия | 91,91 |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | Индия | 91,45 |
| Trojan-Banker.AndroidOS.Rewardsteal.nk | Индия | 90,98 |
| Trojan-Dropper.AndroidOS.Agent.sm | Турция | 90,34 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ac | Индия | 89,38 |
| Trojan-Banker.AndroidOS.Rewardsteal.oa | Индия | 89,18 |
| Trojan-Banker.AndroidOS.Rewardsteal.ma | Индия | 88,58 |
| Trojan-Spy.AndroidOS.SmForw.ko | Индия | 88,48 |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Бразилия | 88,25 |
| Trojan-Dropper.AndroidOS.Hqwar.bf | Турция | 88,15 |
| Trojan-Banker.AndroidOS.Agent.pp | Индия | 87,85 |
* Страна с наибольшей активностью зловреда.
** Доля уникальных пользователей, столкнувшихся с данным зловредом в указанной стране, от всех атакованных этим же зловредом пользователей мобильных решений «Лаборатории Касперского».
Турецкие пользователи чаще всего подвергались атакам банковских троянцев Coper и их дропперов Hqwar. В Индии продолжали распространяться троянцы Rewardsteal, похищающие платежные данные жертвы под предлогом раздачи денег. Также в Индии возобновилась активность троянца Thamera, частые атаки которого мы ранее фиксировали в 2023 году. Этот зловред регистрирует аккаунты в социальных сетях с устройства жертвы.
Сосредоточенный в Германии Trojan-Proxy.AndroidOS.Agent.q был встроен в стороннее приложение для просмотра актуальных скидок в сети крупных немецких магазинов. Злоумышленники похищали средства жертв через несанкционированное использование устройства клиента в качестве выходной точки прокси.
В Бразилии в 2025 году были сконцентрированы атаки троянцев Pylcasa, используемых для того, чтобы направить пользователей на фишинговые страницы или сайты нелегальных казино.
Мобильные банковские троянцы
Количество новых установочных пакетов банковских троянцев резко выросло и составило 255 090 пакетов, что в разы превышает показатели прошлых лет.
Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского», 2022–2025 гг. (скачать)
Отметим, что общее число атак с использованием банкеров так же, как и в предыдущем году, выросло в полтора раза. Принимая во внимание резкий рост количества установочных пакетов этих зловредов, мы можем предположить, что такие атаки приносят злоумышленникам значительную выгоду. Это подтверждается и тем, что киберпреступники продолжают как развивать каналы доставки зловредов, так и наращивать объемы создания новых модификаций в попытках помешать детектированию защитными решениями.
TOP 10 мобильных банкеров
| Вердикт | %* 2024 | %* 2025 | Разница в п. п. | Изменение позиции |
| Trojan-Banker.AndroidOS.Mamont.da | 0,86 | 15,65 | +14,79 | +28 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,12 | 13,41 | +13,29 | |
| Trojan-Banker.AndroidOS.Coper.c | 7,19 | 9,65 | +2,46 | +2 |
| Trojan-Banker.AndroidOS.Mamont.bc | 10,03 | 6,26 | –3,77 | –3 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0,00 | 4,10 | +4,10 | |
| Trojan-Banker.AndroidOS.Coper.a | 9,04 | 4,00 | –5,04 | –4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 0,00 | 3,73 | +3,73 | |
| Trojan-Banker.AndroidOS.Mamont.cb | 0,64 | 3,04 | +2,40 | +26 |
| Trojan-Banker.AndroidOS.Faketoken.pac | 2,17 | 2,95 | +0,77 | +5 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 2,75 | +2,75 |
* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных банковскими угрозами пользователей мобильных защитных решений «Лаборатории Касперского».
В 2025 году мы наблюдали бурную активность банковских троянцев Mamont: они заняли около половины от общего числа новых приложений своей категории, и они же использовались в половине всех атак банковскими троянцами.
Заключение
В 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО. При этом мы отмечаем значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.
Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры, такие как Triada и Keenadu. Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений. Мы также отмечаем интерес злоумышленников к использованию зараженных устройств в качестве прокси.
Авторы
Мобильная вирусология 2025