Trong quý 2 năm 2025, người dùng thiết bị Android và iOS phải đối mặt với các mối đe dọa mạng di động không ngừng. Kaspersky Security Network ghi nhận gần 143.000 gói cài đặt độc hại được phát hiện trên các sản phẩm bảo mật di động của họ.
Mặc dù tổng số tấn công mạng di động, bao gồm mã độc, phần mềm quảng cáo và phần mềm không mong muốn tiềm ẩn, đã giảm xuống 10,71 triệu trong quý 2, các loại Trojan vẫn là mối nguy hiểm nổi bật nhất. Chúng chiếm 31,69% tổng số các mối đe dọa được phát hiện.
Từ tháng 4 đến tháng 6 năm 2025, các giải pháp của Kaspersky đã chặn 10,71 triệu cuộc tấn công di động. Con số này cho thấy sự sụt giảm so với quý 1, chủ yếu do sự giảm đáng kể trong các chiến dịch liên quan đến RiskTool.AndroidOS.SpyLoan.
RiskTool.AndroidOS.SpyLoan là các ứng dụng cho vay được nhúng khung lấy cắp dữ liệu người vay, chẳng hạn như danh bạ điện thoại. Đáng chú ý, chúng đôi khi được tìm thấy cài đặt sẵn trên thiết bị.
Thống Kê và Xu Hướng Mã Độc Di Động Trong Quý 2/2025
Trong khoảng thời gian này, Kaspersky đã xác định 142.762 gói cài đặt cho các loại mã độc di động và ứng dụng không mong muốn trên Android.
Các Trojan ngân hàng (Banking Trojans) chiếm tỷ lệ cao nhất trong số các loại mã độc, với họ Mamont chiếm ưu thế. Trojan gián điệp (Spy Trojans) giảm xuống vị trí thứ năm khi sự bùng phát của Trojan-Spy.AndroidOS.Agent.akg (đánh cắp SMS) đã lắng xuống.
Phần mềm gián điệp Agent.amw, được ngụy trang dưới dạng ứng dụng sòng bạc, cũng suy yếu. Các ứng dụng không mong muốn thuộc loại RiskTool và phần mềm quảng cáo (adware) theo sau về mức độ phổ biến, trong khi Trojan họ Triada chiếm phần lớn trong danh mục Trojan chung.
Các Loại Mã Độc Di Động Nổi Bật
- Trojan Ngân hàng: Đặc biệt là họ Mamont, chiếm lĩnh các cuộc tấn công tài chính.
- Trojan Gián điệp: Giảm đáng kể so với quý trước, nhưng vẫn là mối đe dọa.
- RiskTool và Adware: Các ứng dụng có chức năng gây rủi ro hoặc hiển thị quảng cáo không mong muốn.
- Trojan Chung (Generic Trojans): Phần lớn là các biến thể của họ Triada.
Những Mã Độc Di Động Mới và Bất Thường
Quý 2/2025 chứng kiến sự xuất hiện của một số mối đe dọa mới và độc đáo, cho thấy sự đa dạng trong các phương thức tấn công của tội phạm mạng.
SparkKitty: Kẻ Đánh Cắp Dữ Liệu Đa Nền Tảng
Một loại phần mềm đánh cắp dữ liệu (stealer) đa nền tảng có tên SparkKitty đã nhắm mục tiêu vào cả người dùng Android và iOS. Mục tiêu chính của nó là đánh cắp hình ảnh từ thư viện thiết bị.
Phân tích cho thấy chiến dịch này có liên quan đến phần mềm độc hại SparkCat được phát hiện trước đó trên các cửa hàng ứng dụng. Các trang ứng dụng độc hại thường mô phỏng các cài đặt hợp pháp.
Mục tiêu chính của SparkKitty được cho là đánh cắp các mã khôi phục ví tiền điện tử được lưu dưới dạng ảnh chụp màn hình. Thông tin chi tiết hơn về cơ chế hoạt động của mã độc di động này cũng đã được công bố.
SDK Khả Năng DDoS Trong Ứng Dụng Nội Dung Người Lớn
Một phát hiện đáng lo ngại là việc kẻ tấn công đã nhúng một SDK có khả năng tấn công từ chối dịch vụ phân tán (DDoS) vào các ứng dụng xem nội dung người lớn.
Khi được cài đặt, các ứng dụng này biến các thiết bị di động đã đồng ý thành các bot. Các bot này có khả năng gửi lưu lượng tấn công cấu hình được đến các địa chỉ do kẻ tấn công chỉ định.
Điều này cho thấy sự sáng tạo của tội phạm mạng trong việc khai thác người dùng không nghi ngờ để xây dựng các mạng botnet DDoS từ các thiết bị di động.
Trojan Đánh Cắp OTP Đội Lốt VPN
Một loại Trojan mới đã xuất hiện, mạo danh một ứng dụng VPN giúp tăng cường quyền riêng tư. Tuy nhiên, thay vì cung cấp dịch vụ VPN, nó khai thác dịch vụ Notification Listener của Android.
Bằng cách này, nó chặn các mã xác thực một lần (OTP) từ các ứng dụng nhắn tin và mạng xã hội. Các mã OTP bị chặn này sau đó được chuyển tiếp âm thầm đến kẻ tấn công thông qua các bot Telegram.
Quá trình này tạo điều kiện thuận lợi cho việc chiếm đoạt tài khoản, đặt ra mối đe dọa nghiêm trọng đến an toàn thông tin cá nhân của người dùng di động.
Xu Hướng Mã Độc Di Động Theo Khu Vực
Mặc dù tổng số các cuộc tấn công di động đã giảm nhẹ trong quý 2 so với quý 1, các mã độc di động ngân hàng vẫn tồn tại đáng báo động. Kaspersky đã phát hiện 42.220 gói Trojan ngân hàng, với các biến thể Mamont chiếm 57,7% tổng số này.
Trong số 10 họ Trojan ngân hàng hàng đầu, biến thể Mamont.da đã tăng từ 26,68% lên 30,28% số người dùng bị tấn công. Biến thể mới Mamont.ev cũng nhanh chóng chiếm 17% thị phần.
Bất chấp sự sụt giảm khiêm tốn của các cuộc tấn công di động nói chung trong quý 2 năm 2025, bối cảnh mối đe dọa mạng trên di động vẫn tiếp tục phát triển. Các chiến dịch Trojan phức tạp, các đợt bùng phát khu vực và các phần mềm đánh cắp dữ liệu đa nền tảng đều cho thấy sự thích nghi không ngừng của các đối tượng tấn công.
Các mã độc di động ngân hàng, dẫn đầu bởi họ Mamont, cùng với các loại Trojan mới có khả năng DDoS và đánh cắp OTP, nhấn mạnh những rủi ro dai dẳng mà người dùng di động phải đối mặt.
Để tăng cường an ninh mạng, sự cảnh giác, cập nhật phần mềm thường xuyên và các giải pháp bảo mật di động mạnh mẽ vẫn là những biện pháp phòng thủ thiết yếu chống lại các đối thủ luôn thích nghi này.
