文章总结： 文档分析2025-2026年安卓设备面临的主要安全威胁，包括通过侧载APK传播的恶意软件、NFC中继攻击、伪装VPN服务的监控程序、预装固件的木马等。关键发现显示银行木马攻击量激增，NFC攻击季度增长50%。可操作建议包括安装安全软件、仅从官方渠道下载应用、警惕异常权限请求、避免非接触式银行卡操作及选择正规购买渠道。 综合评分： 82 文章分类： 移动安全,威胁情报,恶意软件,安全意识,解决方案

安卓威胁完美风暴

原创

卡巴斯基 卡巴斯基

卡巴斯基威胁情报

2026年4月21日 13:03 北京

在小说阅读器读本章

去阅读

2026 年，NFC 中继攻击、预装木马及各类恶意程序正严重破坏安卓使用体验。

2025 年，针对安卓设备的攻击数量创下历史新高。当前，诈骗分子正借着几大趋势兴风作浪：AI 应用的热度、绕开网站封锁或年龄验证的需求、抢购新智能手机的热潮、移动银行的普及，当然还有 NFC 技术的广泛应用。下面我们来拆解 2025-2026 年的主要威胁，并探讨在全新的威胁环境下，如何保障你的安卓设备安全。

侧载

恶意安装包（APK 文件）始终是安卓威胁中的终极 BOSS尽管谷歌多年来持续加固操作系统，恶意安装包（APK 文件）依旧是安卓设备面临的头号威胁。用户通过侧载方式 —— 即不从官方应用商店下载，而是通过 APK 文件手动安装应用 —— 可以安装几乎任何程序，其中就包括赤裸裸的恶意软件。即便谷歌推出了安全防护功能，也对可疑应用设置了各类权限限制，却始终未能有效遏制这一问题的蔓延态势。

卡巴斯基 2025 年初步数据显示，安卓威胁检出量增幅接近五成，仅第三季度检出量就环比增长 38%。在银行木马等细分领域，增速更为迅猛。仅在俄罗斯，臭名昭著的 Mamont 银行木马攻击用户数量同比暴涨 35 倍，全球范围内该类恶意程序整体增幅接近三倍。

如今，不法分子主要通过即时通讯软件分发恶意软件，将病毒文件私发或群发至聊天群组。安装包通常冠以极具诱惑力的名称，搭配诱导性话术，教唆用户绕过系统限制与安全警告完成安装。

新设备一旦感染，恶意软件常会自动向受害者通讯录内所有联系人扩散传播。

搜索引擎垃圾信息与邮件钓鱼攻势也愈演愈烈，诱导用户访问仿冒官方应用商店的网站，下载所谓最新实用应用，实则获取的是恶意 APK 安装包。安卓木马 ClayRat 就是典型案例，该木马综合运用多种手段针对俄罗斯用户，通过群组与虚假网站传播，借助短信向受害者联系人扩散，窃取聊天记录与通话记录，甚至调用前置摄像头偷拍机主，短短三个月内就出现超 600 个不同变种。

问题规模已然极为严峻，谷歌甚至宣布 2026 年起将禁止未知开发者分发应用。但在开发社区数月反对声中，谷歌转而采取更温和的方案：未签名应用或将仅能通过某种超级用户模式安装。这也意味着诈骗分子只需更新教程，指导用户开启该模式即可继续作恶。

卡巴斯基安卓版可有效防范伪造与植入木马的 APK 文件。遗憾的是，受谷歌相关政策影响，我们的安卓安全应用目前已无法在谷歌应用商店下载。我们此前已发布详细指南，指导用户 100% 安全正版安装我们的安卓应用。

（NFC）中继攻击

一旦安卓设备被攻破，由于移动支付的广泛普及，黑客便能够绕过中间环节，直接窃取受害者的资金。仅在2025年第三季度，俄罗斯就检测到超过44,000起此类攻击——较上一季度激增50%。

目前主要有两种诈骗手段：直接NFC中继攻击和反向NFC中继攻击。

直接NFC中继攻击中，诈骗者通过即时通讯应用联系受害者，诱骗其下载一款应用——号称用于“与银行核实身份”。如果受害者上当并安装该应用，就会被要求将实体银行卡贴于手机背面，并输入个人识别码（PIN）。如此一来，卡片数据便落入犯罪分子手中，他们可借此清空账户余额或大肆购物。

反向NFC中继攻击则更为复杂。诈骗者发送恶意安卓应用安装包（APK），诱使受害者将该新应用设置为主要非接触式支付方式。该应用会生成一个NFC信号，自动取款机（ATM）会将其识别为诈骗者的卡片。随后，诈骗者会说服受害者携带受感染的手机前往ATM机，将现金存入“安全账户”。实际上，这些资金直接落入了诈骗者的口袋。

我们在《NFC侧录攻击》一文中详细剖析了这两种攻击手段。

此外，在通过钓鱼网站窃取卡片信息后，NFC技术还被用于盗刷卡片。在此场景中，攻击者试图将盗取的卡片与自己智能手机上的移动钱包关联——我们在《NFC盗刷者藏身于苹果支付（Apple Pay）和谷歌钱包（Google Wallet）背后》一文中对此进行了详细报道。

关于虚拟专用网络（VPN）的争议

在世界上许多地方，访问某些网站不像过去那么简单。一些网站通过法院命令被当地的互联网监管机构或互联网服务提供商（ISP）封锁；另一些网站则要求用户通过身份验证，出示身份证件并提供个人信息。在某些情况下，网站完全屏蔽特定国家的用户，只是为了免去遵守当地法律的麻烦。用户不断试图绕过这些限制——他们常常以数据或现金为代价。

许多用于绕过封锁的流行工具——尤其是免费工具——实际上在监视其用户。最近的一项审计显示，下载总量超过7亿次的20多款流行服务会主动追踪用户位置。这些工具充其量使用简陋的加密技术，实际上将所有用户数据暴露在外，任由第三方截获。

此外，根据2025年11月的谷歌数据，恶意应用程序伪装成合法的VPN服务来欺骗毫无戒心的用户的情况急剧增加。

这类应用程序实际所需的权限与截取数据和操纵网站流量完美契合。骗子也更容易说服受害者向负责互联网接入的应用程序授予管理权限，而不是向游戏或音乐播放器等应用程序授予此类权限。我们预计这种骗局会越来越流行。

开箱即中招的木马

即便谨慎的用户若抵挡不住省钱的诱惑，也可能沦为受害者。2025年全年，全球都有报告称，有些设备在开箱时就已携带木马程序。通常，这些设备要么是来自不知名厂商的智能手机，要么是在在线市场上购买的知名品牌仿冒品。但威胁不仅限于手机；电视盒子、平板电脑、智能电视，甚至数码相框都被发现存在风险。

目前尚不完全清楚感染是发生在工厂生产环节，还是在工厂到买家门口的供应链某个环节，但设备在首次开机前就已被感染。通常，这是一种名为Triada的复杂恶意软件，卡巴斯基分析师早在2016年就首次发现了它。它能够植入到每一个正在运行的应用程序中以截取信息：窃取流行通讯应用和社交媒体的访问令牌和密码、劫持短信（验证码：惨了！）、将用户重定向到广告密集的网站，甚至直接在手机上运行代理，以便攻击者使用受害者的身份浏览网页。

从技术上讲，该木马直接嵌入到智能手机的固件中，唯一能将其清除的方法是用干净的操作系统重新刷写设备。通常，一旦深入系统查看，你会发现设备的内存或存储空间远低于宣传的数值——这意味着固件为了将廉价硬件配置作为高端产品出售，简直是在对机主信口雌黄。

另一个常见的预装威胁是BADBOX 2.0僵尸网络，它同时兼具代理和广告欺诈引擎的双重功能。这个僵尸网络专门针对电视盒子及类似硬件。

如何在不失去理智的情况下继续使用安卓

尽管面临的威胁与日俱增，你依然可以安全地使用安卓智能手机！你只需遵守一些严格的手机使用规范。

在所有智能手机上安装全面的安全解决方案。我们推荐使用卡巴斯基安卓版来防御恶意软件和网络钓鱼攻击。  尽可能使用应用商店，避免通过APK文件侧载应用。已知的应用商店——即便规模较小——也总比来自某个随机网站的APK文件可靠。如果别无选择，请仅从公司官方网站下载APK文件，并仔细核对所在页面的网址。如果你不能100%确定哪个是官方网站，不要仅仅依赖搜索引擎；查阅官方企业名录或至少查阅维基百科来核实正确地址。  安装过程中要仔细阅读操作系统给出的警告。如果所请求的权限或操作对于你正在安装的应用来说显得不合逻辑或过于宽泛，切勿授予权限。  在任何情况下，都不要通过聊天、电子邮件或类似通信渠道中的链接或附件安装应用。  切勿将实体银行卡贴近手机。这么做绝对没有任何合法场景是对你自己有利的。  切勿在手机的任何应用中输入银行卡的个人识别码（PIN）。只有自动取款机（ATM）或实体支付终端才有权要求输入PIN。  选择虚拟专用网络（VPN）时，坚持使用知名公司的付费服务。  从官方零售商处购买智能手机和其他电子产品，避开你从未听说过的品牌。请记住：如果一笔交易好得令人难以置信，那几乎肯定不是真的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基 卡巴斯基《安卓威胁完美风暴》