2025 年第二季度，网络犯罪分子发起了大规模移动恶意软件攻击浪潮。安全研究人员检测到近 14.3 万个恶意安装包，专门针对安卓（Android）和 iOS 设备。 此次攻击激增标志着移动网络威胁大幅升级，攻击者通过复杂的攻击载体影响全球数百万用户，这些载体旨在窃取敏感数据、获取财务信息，并在受感染设备上建立持久化后门。 2025 年第二季度的恶意软件领域，在攻击方法和目标人群方面均展现出显著的多样性。 银行木马成为主要威胁类型，占所有恶意安装包的 42220 个；移动勒索软件木马则为威胁生态系统再添 695 个恶意安装包。

这些攻击主要利用社会工程学手段、虚假应用商店和被植入恶意代码的合法应用渗透用户设备，网络犯罪分子在绕过现代安全机制方面的技术成熟度正不断提升。

（传播 SparkKitty 恶意软件的虚假应用商店页面（来源：Securelist）） 根据卡巴斯基安全网络（Kaspersky Security Network）的数据，该季度共拦截了 1071 万次涉及恶意软件、广告软件和不受欢迎移动软件的攻击。

木马是最普遍的威胁类型，占所有检测到的恶意活动的 31.69%。

Securelist 的研究人员发现了多个令人担忧的趋势，包括部分设备型号预装恶意软件，以及现有威胁家族不断升级、整合新的规避技术。

其中最值得关注的发现之一是 SparkKitty 恶意软件 —— 这是一种复杂的威胁，可同时针对安卓和 iOS 平台，具备窃取图片的功能。

该恶意应用专门瞄准设备相册中以截图形式存储的加密货币钱包恢复码，对数字资产安全构成直接威胁。

这款恶意软件通过伪装成合法应用运作，同时秘密将敏感图像数据传输至网络犯罪分子控制的远程服务器。

高级持久化与规避机制

2025 年第二季度移动恶意软件的技术成熟度达到了前所未有的水平，尤其是在持久化和检测规避策略方面。

“Trojan-Spy.AndroidOS.OtpSteal.a”（安卓系统 OTP 窃取间谍木马）便是这种技术升级的典型代表：它伪装成虚拟私人网络（VPN）客户端，同时启用 “通知监听服务”（Notification Listener service），从即时通讯应用和社交网络中拦截一次性密码（OTP）验证码。

通过这种方式，攻击者可自动将拦截到的验证码通过自动化机器人转发至 Telegram 频道，从而绕过双因素认证机制。

此类恶意软件的持久化机制涉及深度系统集成，例如 “Trojan-DDoS.AndroidOS.Agent.a”（安卓系统 DDoS 代理木马）会将恶意软件开发工具包（SDK）直接嵌入成人内容浏览应用中。

这种集成技术使得受感染的移动设备能被组成分布式拒绝服务（DDoS）僵尸网络，体现出网络犯罪分子正将传统攻击方法适配到移动平台。

嵌入的 SDK 支持对攻击参数（包括目标地址和传输频率）进行动态配置，为攻击者提供了灵活的命令与控制能力。