文章总结： 安天移动安全2026年4月威胁态势报告显示移动端恶意软件以隐私窃取、远程控制、流氓行为为主，活跃家族包括ORCASpy和FakeBank等银行木马与间谍软件；风险应用以色情和博彩类为主导，广东、江苏为高发省份。报告建议用户卸载非官方应用、启用无障碍服务时保持警惕，并优先使用正版软件以防范隐私泄露与财产损失。 综合评分： 82 文章分类： 恶意软件,威胁情报,移动安全,安全意识,漏洞预警

2026年4月移动设备威胁态势盘点

安天移动安全

2026年5月14日 09:56 湖北

在小说阅读器读本章

去阅读

点击下方“卡片”，关注我们.

威胁盘点 | 情报分析 | 风险预警

—第27期移动设备威胁态势报告—

移动端攻击活动主要态势

• 活跃手机银行木马为Trojan/Android.FakeBank.av和 Trojan/Android.nbank.g 家族，主要表现为仿冒知名银行。
• 活跃移动间谍木马多出自 Trojan/Android.ORCASpy与 Trojan/Android.UjcsSpy，主要表现为远程控制手机窃取相关隐私。其中Trojan/Android.ORCASpy家族还会窃取用户支付密码，可能会造成用户财产损失。
• 移动端风险应用类型以“色情应用” 和 “涉赌应用” 为主。
• 移动端涉诈应用以“即时通讯诈骗” 类场景为主。
• 移动端色情、博彩类风险应用多属于Risk/Android.R_Cont.PornRec和 Risk/Android.R_Cont.Gamble 家族。

安天移动安全每月对移动端活跃的恶意软件及风险应用开展跟踪监测，移动端恶意软件主要分为八大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。风险应用主要分为六大类：诈骗风险、色情风险、博彩风险、引流风险、换皮风险、传销风险。

01

常见恶意软件活跃情况

月度移动端常见恶意软件活跃类型对比如下图：

监测数据显示，本月八大类恶意软件，其中活跃量TOP3的类型为：“隐私窃取”、“远程控制”“流氓行为”。

本月移动端活跃恶意木马家族TOP10如下图：

本月恶意软件家族活动态势呈现结构性变化：

Trojan/Android.ORCASpy.f（32.25%）该应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.AppCrack.b（7.31%）软件非官方应用，植入恶意代码，宣称破解版，主要诱导用户支付付款二维码，造成用户财产损失，建议使用官方正版应用。

Trojan/Android.ORCASpy.b（6.73%）该应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、 短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

G-Ware/Android.xiaocao.a（6.50%）该应用运行后加载色情敏感内容，建议使用绿色健康软件。

G-Ware/Android.GDowgin.oa（4.21%）该应用伪装成正版应用，重打包后添加无关代码，运行时加载广告，可能会造成流量资费消耗，请谨慎使用。

G-Ware/Android.Andut.b（2.93%）该样本运行后加密上传用户IMSI、手机号等固件信息，可能造成用户隐私泄露，请谨慎使用。

G-Ware/Android.Downloader.dv（2.54%）该程序运行私自下载jar包和其他未知文件，存在一定的风险，会造成用户资费损耗，建议卸载。

Trojan/Android.UjcsSpy.b（2.33%）该样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.QHooPlayer.c（2.04%）该程序安装无图标，运行申请无障碍服务，监听通知栏消息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.ORCASpy.a（2.01%）该应用仿冒伪装成知名应用，运行后诱导强制用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人信息、录音、键盘输入信息、支付宝和微信支付密码、多种虚拟金融资产信息等隐私信息，给用户造成严重的隐私泄露和财产损失风险。

02

活跃手机银行木马

本月移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av（51.90%）应用伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失，建议卸载。

Trojan/Android.FakeBank.aw（24.13%）该应用伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失，建议卸载。

Trojan/Android.nbank.g（11.25%）程序伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息、还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗，请卸载。

Trojan/Android.BankerSpy.d（4.89%）该程序伪装安全防护，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息、银行相关隐私信息。造成用户隐私泄露。

Trojan/Android.GBanker.gx（1.13%）该应用伪装成正常应用，运行隐藏图标，私自窃取短信消息、通知栏消息、固件信息等隐私信息，包含发送短信、卸载应用等功能，利用无障碍服务激活设备管理器、窃取社交应用账号密码，给用户使用带来严重的安全隐患，建议立即卸载。

03

活跃移动间谍木马

本月移动端间谍木马家族活跃趋势如下图：

当前移动间谍软件威胁格局呈高度集中态势。ORCASpy.b与UjcsSpy.b构成一级威胁。

Trojan/Android.ORCASpy.f（72.42%）应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.ORCASpy.b（11.87%）该应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.UjcsSpy.b（4.45%）该样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.ORCASpy.k (4.19%)该应用伪装成正常应用或色情应用，运行后诱导用户启用无障碍辅助服务。其后开启摄像头、相册、短信等敏感权限，接收远程服务器控制指令，执行远程屏幕共享、模拟点击等操作，窃取用户相册、短信、视频、锁屏密码、支付宝和微信密码等隐私信息，给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.ORCASpy.a（3.38%）应用仿冒伪装成知名应用，运行后诱导强制用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人信息、录音、键盘输入信息、支付宝和微信支付密码、多种虚拟金融资产信息等隐私信息，给用户造成严重的隐私泄露和财产损失风险。

04

恶意软件国内受害区域分布情况

本月排名TOP3的省份为：广东、江苏、河南。

05

常见风险应用活动情况

月度移动端常见风险应用活跃类型对比如下图：

监控数据显示，本月占比大多数为：色情应用、博彩应用。

本月移动端活跃风险应用家族TOP10如下图：

TOP10家族情况如下：

Risk/Android.R_Cont.PornRec（19.06%）应用涉及色情内容，请谨慎使用。

Risk/Android.R_Cont.Porn（14.63%）应用涉及色情内容，请谨慎使用。

RiskWare/Android.Porn.a（7.99%）该应用包含色情或成人内容，可能会展示不适宜的图片、视频或引导付费访问，存在内容风险和财产风险。

RiskWare/Android.GambleApp.a（6.84%）该应用为博彩应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用！

RiskWare/Android.NotOfficial.f（3.84%）该应用被重打包加入了其他代码，可能需要购买卡密使用，诱导用户加群，存在一定的风险，建议不要使用。

Risk/Android.R_Cont.Gamble（3.22%）应用涉及博彩内容，请谨慎使用。

RiskWare/Android.QQshare.i（3.16%）该程序运行诱导加入指定qq群，进行分享推广引流。可能造成用户资费消耗，存在一定的风险，建议谨慎使用。

RiskWare/Android.SexApp.fq（1.99%）该应用程序包含或引导用户访问涉及淫秽色情的内容，可能影响用户身心健康，请注意提示信息，使用健康绿色软件。

Risk/Android.R_Cont.GamProm（1.79%）应用含有博彩推广内容，请谨慎使用。

RiskWare/Android.RISKRhGeneric.a（1.64%）该应用为博彩应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用！

06

活跃涉诈应用类型

本月移动端涉诈应用家族类型分布如下图：

本月涉诈应用中绝大多数为“即时通讯诈骗”类。

07

活跃色情和涉赌应用

本月移动端色情、博彩应用TOP5如下图：

TOP5家族情况如下：

Risk/Android.R_Cont.PornRec（33.61%）应用存在色情诱导充值服务，请谨慎使用。

Risk/Android.R_Cont.Porn（32.35%）应用涉及色情内容，请谨慎使用。

Risk/Android.R_Cont.Gamble（7.57%）应用涉及博彩内容，请谨慎使用。

RiskWare/Android.SexApp.fq[fra,gen]（6.58%）该应用程序包含或引导用户访问涉及淫秽色情的内容，可能影响用户身心健康，请注意提示信息，使用健康绿色软件。

RiskWare/Android.PJbocai.er[rog]（4.99%）该程序为博彩类应用，会给您带来财产损失。此类程序一般以欺骗形式引诱推荐安装，是一种典型的网络赌博诈骗手段，请立即卸载。如果是有人推荐，请不要相信!不要相信!不要相信！

08

风险应用国内受害区域分布情况

移动端风险应用活动国内受害区域分布如下图：

本月排名TOP3的省份为：广东、江苏、山东。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天移动安全 《2026年4月移动设备威胁态势盘点》