Мобильные угрозы в 2025 году: рост активности банковских троянцев и предустановленных бэкдоров

В отчете «Мобильная вирусология 2025» анализируется ситуация с вредоносным ПО для мобильных устройств на основе данных сети Kaspersky Security Network (KSN), собирающей анонимизированные данные об угрозах от пользователей защитных решений «Лаборатории Касперского».

По данным исследования, в 2025 году было предотвращено 14,06 млн атак на мобильные устройства — в среднем около 1,17 млн атак в месяц. Самой распространенной угрозой остается рекламное ПО, на которое приходится 62% обнаруженных мобильных угроз.

Всего за год выявлено 815 тыс. вредоносных и нежелательных установочных пакетов для Android, из них 255 тыс. относятся к банковским троянцам.

Основные тенденции развития мобильного вредоносного ПО

В 2025 году общее количество новых вредоносных и нежелательных установочных пакетов снизилось и составило 815 735, что почти на треть меньше показателя предыдущего года. Снижение произошло главным образом за счет сокращения числа программ, классифицируемых как потенциально нежелательные.

При этом число троянцев выросло – прежде всего Trojan-Banker и Trojan-Spy, тогда как доля AdWare и RiskTool снизилась. Иными словами, пакетов стало меньше, но структура угроз смещается в сторону более опасных категорий.

Наиболее заметные и распространенные мобильные угрозы

В 2025 году исследователи обнаружили ряд новых мобильных угроз. В частности, в четвертом квартале был выявлен предустановленный бэкдор Keenadu, который внедряется в прошивки устройств на этапе сборки. Вредоносный код встраивается в системную библиотеку libandroid_runtime.so, используемую Android для работы Java-среды и загружаемую большинством приложений. В зависимости от загруженных модулей он может накручивать рекламные просмотры, подменять поисковые запросы и выполнять другие вредоносные действия.

Еще одной находкой стал IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства использовались для DDoS-атак, могли работать как обратный прокси и выполнять команды через реверс-шелл (удаленный доступ к командной строке устройства). Позднее выяснилось, что функция прокси применялась в сервисах residential proxy, где домашние устройства используются как выходные точки сети.

Также был обнаружен троянец-шпион LunaSpy, распространявшийся под видом антивирусного приложения. Он способен похищать пароли из браузеров и мессенджеров, SMS-сообщения и журналы звонков, а также записывать звук с микрофона и видео с камеры устройства. Основной целью этой угрозы были пользователи в России. Среди наиболее распространенных мобильных угроз значительную часть занимают троянцы семейства Triada, распространяющиеся в модифицированных версиях популярных мессенджеров или через «виртуальные среды» для их установки. Также широко распространены мошеннические приложения Fakemoney, предлагающие пользователям фиктивные инвестиции или выплаты. В статистике атак они занимают одну из верхних позиций. Банковские троянцы Mamont также входят в число наиболее активных угроз и занимают несколько позиций в рейтинге вредоносных программ.

География мобильных атак

Некоторые мобильные угрозы в 2025 году были сосредоточены в отдельных странах. Так, в Турции чаще всего фиксировались атаки банковских троянцев Coper и связанных с ними дропперов Hqwar – программ, задача которых скрытно установить на устройство другие вредоносные компоненты.

В Индии активно распространялись троянцы Rewardsteal, которые похищают платежные данные под предлогом участия в раздаче денежных выплат. Также здесь вновь была зафиксирована активность троянца Thamera, регистрирующего аккаунты в социальных сетях с устройства жертвы.

В Германии исследователи обнаружили троянец Trojan-Proxy.AndroidOS.Agent.q, встроенный в стороннее приложение для просмотра скидок в крупных торговых сетях. Зараженные устройства использовались злоумышленниками как прокси-узлы.

В Бразилии были сосредоточены атаки троянцев Pylcasa, которые перенаправляют пользователей на фишинговые страницы и сайты нелегальных онлайн-казино.

Рост активности мобильных банковских троянцев

Одной из ключевых тенденций 2025 года стал рост активности мобильных банковских троянцев. За год было обнаружено 255 090 установочных пакетов таких программ, а общее число атак увеличилось примерно в полтора раза. Наиболее активными оказались троянцы семейства Mamont: они составили около половины от общего числа новых приложений категории Trojan-Banker и использовались в половине атак банковскими троянцами (по доле пользователей, столкнувшихся с этими угрозами). В числе распространенных банковских угроз также остаются Coper и Faketoken, ориентированные на кражу платежных данных.

Основные выводы исследования

По итогам 2025 года исследователи отмечают снижение общего числа новых вредоносных мобильных приложений. Однако при этом увеличивается активность более опасных категорий угроз — прежде всего банковских троянцев и шпионского ПО.

Также чаще фиксируются предустановленные бэкдоры и использование зараженных устройств в качестве прокси. Отдельно в отчете отмечается, что часть мобильных угроз продолжает распространяться через официальные магазины приложений.

Материал подготовлен редакцией SecPost.ru на основе отчета «Мобильная вирусология 2025». Отчет доступен по адресу.