文章总结： 报告显示12月移动端恶意软件以流氓行为和资费消耗为主，UjcsSpy.b与ORCASpy.b间谍木马及FakeBank.av银行木马活跃，主要窃取隐私与支付密码。风险应用集中于色情与博彩类型。建议用户警惕非官方应用，谨慎授予无障碍权限，及时卸载高危软件。 综合评分： 88 文章分类： 威胁情报,恶意软件,移动安全

2025年12月移动设备威胁态势盘点

安天移动安全

2026年1月16日 17:30 湖北

点击👇卡片 关注我们

威胁盘点 | 情报分析 | 风险预警

—第23期移动设备威胁态势报告—

移动端攻击活动主要态势

• 活跃手机银行木马为FakeBank.av 和 nbank.g 家族，主要表现为仿冒知名银行。
• 活跃移动间谍木马多出自UjcsSpy.b 与 ORCASpy.b，主要表现为远程控制手机窃取相关隐私。其中ORCASpy.b家族还会窃取用户支付密码，可能会造成用户财产损失。
• 移动端风险应用类型以“色情应用” 和 “涉赌应用” 为主。
• 移动端涉诈应用以“即时通讯诈骗” 类场景为主。
• 移动端色情、博彩类风险应用多属于Risk/Android.R_Cont.PornRec 、 Risk/Android.R_Cont.Gamble 家族。

安天移动安全每月对移动端活跃的恶意软件及风险应用开展跟踪监测，移动端恶意软件主要分为八大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。风险应用主要分为六大类：诈骗风险、色情风险、博彩风险、引流风险、换皮风险、传销风险。

01

常见恶意软件活跃情况

月度移动端常见恶意软件活跃类型对比如下图：

监测数据显示，本月八大类恶意软件，其中活跃量TOP3的类型为：“流氓行为”、“资费消耗”“诱骗欺诈”。

本月移动端活跃恶意木马家族TOP10如下图：

本月恶意软件家族活动态势呈现结构性变化：

Trojan/Android.UjcsSpy.b（23.70%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

G-Ware/Android.xiaocao.a（10.56%）应用运行后加载色情敏感内容，建议使用绿色健康软件。

Trojan/Android.ORCASpy.b（7.77%）应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.Dropper.j（7.30%）程序运行后会释放子包，警惕该软件私自下载安装软件，造成用户流量等资费消耗。建议立即卸载。

H-Ware/Android.Andut.b（5.53%）样本运行后加密上传用户 IMSI、手机号等固件信息，可能造成用户隐私泄露，请谨慎使用。

Trojan/Android.QHooPlayer.c（5.36%）程序安装后无桌面图标，运行时会申请无障碍服务，监听通知栏消息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

G-Ware/Android.RogueAd.mt（4.04%）应用存在与自身功能无关的弹窗推送行为，侵害用户权益。

Trojan/Android.WXALpass.d（2.65%）样本伪装成色情相关应用，运行后释放恶意子包，执行窃取手机设备信息、短信、密码等功能，会造成用户隐私泄露、财产损失，建议立即卸载。

Trojan/Android.QHooPlayer.a（2.50%）程序伪装色情应用，运行下载子包，子包申请无障碍服务，拦截获取短信等隐私信息，远控执行唤醒屏幕、截图等操作，存在造成用户隐私泄露、财产损失的风险。

Trojan/Android.ORCASpy.a（2.26%）应用仿冒伪装成知名应用，运行后诱导用户强制启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人、录音、键盘输入记录、支付宝及微信支付密码、各类虚拟金融资产信息等隐私数据，给用户造成严重的隐私泄露和财产损失风险。

02

活跃手机银行木马

本月移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av（51.35%）应用伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失，建议卸载。

 Trojan/Android.nbank.g（23.38%）程序伪装正常应用，运行后隐藏桌面图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行 app 并上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗，请卸载。

 Trojan/Android.BankerSpy.d（14.58%）程序伪装安全防护，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息及银行相关隐私信息，造成用户隐私泄露。

 Trojan/Android.GBanker.in（1.58%）程序为一款恶意子包，运行后篡改自身图标，启动用户设备中已安装的钱包应用并执行自动点击操作，同时获取用户短信、通讯录等隐私内容，导致用户隐私泄露，建议立即卸载。

Trojan/Android.GBanker.gx（1.51%）应用伪装成正常应用，运行后隐藏桌面图标，私自窃取短信消息、通知栏消息、固件信息等隐私信息，包含发送短信、卸载应用等功能，利用无障碍服务激活设备管理器，窃取社交应用账号密码，给用户使用带来严重的安全隐患，建议立即卸载。

03

活跃移动间谍木马

本月移动端间谍木马家族活跃趋势如下图：

当前移动间谍软件威胁格局呈高度集中态势。UjcsSpy.b 与 ORCASpy.b 构成一级威胁，而 SpyMax 等老牌家族已转化为次要的持续性风险。

Trojan/Android.UjcsSpy.b（70.74%）样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等功能，通过无障碍服务进行模拟点击、窃取其他应用界面信息，造成用户隐私泄露。

Trojan/Android.ORCASpy.b（22.74%）应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.ORCASpy.a（5.82%）应用仿冒知名应用，运行后诱导用户强制启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，执行发送短信、锁屏、清除手机数据、打开特定网页等操作，窃取用户短信、联系人、录音、键盘输入记录、支付宝及微信支付密码、各类虚拟金融资产信息等隐私数据，给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.ORCASpy.c（0.29%）应用伪装正常应用，运行后诱导用户启用无障碍辅助服务，启用后自动获取相关系统权限。接收远程服务器控制指令，开启远程屏幕共享，获取用户联系人、短信、设备参数、照片等隐私信息，执行开启摄像头、录音、录像等操作，通过虚假密码输入界面窃取用户输入的支付宝、微信支付密码以及锁屏密码。给用户造成严重的隐私泄露和财产损失风险。

Trojan/Android.spymax.i（0.09%）该程序为一款间谍软件，运行后隐藏图标，联网后私自下载恶意间谍子包，窃取用户地理位置、WiFi 信息，并私自拍照、录像。会造成用户隐私泄露，建议立即卸载。

04

恶意软件国内受害区域分布情况

本月排名TOP3的省份为：广东、江苏、河南。

05

常见风险应用活动情况

月度移动端常见风险应用活跃类型对比如下图：

监控数据显示，本月占比大多数为：色情应用、博彩应用。

本月移动端活跃风险应用家族TOP10如下图：

TPO10家族情况如下：

Risk/Android.R_Cont.PornRec（37.25%）应用存在色情诱导充值服务，请谨慎使用。

Risk/Android.R_Cont.Porn（21.80%）应用涉及色情内容，请谨慎使用。

Risk/Android.R_Cont.Gamble（5.30%）应用涉及博彩内容，请谨慎使用。

RiskWare/Android.RISKMiTang.a（4.00%）应用为博彩应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用。

Risk/Android.R_Cont.GamProm（3.61%）应用含有博彩推广内容，请谨慎使用。

RiskWare/Android.QQshare.i（2.69%）程序运行后诱导用户加入指定 QQ 群，以此完成分享推广与引流，可能造成用户资费消耗，存在一定的风险，建议谨慎使用。

RiskWare/Android.RISKYKBC.a（1.98%）应用为博彩应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用。

RiskWare/Android.NotOfficial.f（1.80%）应用被二次打包并植入恶意代码，可能要求用户购买卡密方可使用，诱导用户加群，存在一定的风险，建议不要使用。

RiskWare/Android.QQshare.ai（1.68%）程序运行后诱导用户分享至 QQ 群，以此完成分享推广与引流，可能造成用户资费消耗，存在一定的风险，建议谨慎使用。

RiskWare/Android.RISKCGBC.a（1.54%）应用为博彩应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用。

06

活跃涉诈应用类型

本月移动端涉诈应用家族类型分布如下图：

本月涉诈应用中绝大多数为“即时通讯诈骗”类。

07

活跃色情和涉赌应用

本月移动端色情、博彩应用TOP5如下图：

TOP5家族情况如下：

Risk/Android.R_Cont.PornRec（38.70%）应用存在色情诱导充值服务，请谨慎使用。

Risk/Android.R_Cont.Porn（29.48%）应用涉及色情内容，请谨慎使用。

Risk/Android.R_Cont.Gamble（7.11%）应用涉及博彩内容，请谨慎使用。

RiskWare/Android.RISKMiTang.a [rog,gen]（5.90%）该应用为非法博彩类应用，诱导用户在线赌博，可能造成巨额财产损失，建议不要使用。

Risk/Android.R_Cont.GamProm（5.64%）应用含有博彩推广内容，请谨慎使用。

08

风险应用国内受害区域分布情况

移动端风险应用活动国内受害区域分布如下图：

本月排名TOP3的省份为：广东、江苏、山东。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天移动安全 《2025年12月移动设备威胁态势盘点》