СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.12.2025
#ИБ

Android-троянец Mamont угрожает российским банковским клиентам

Мобильное вредоносное ПО Mamont (Android) укрепило свои позиции в ландшафте угроз для пользователей в России и к концу 2025 года стало одним из доминирующих семейств вредоносных программ. По данным Министерства внутренних дел России, на долю Mamont приходилось значительное число заражений, что ставит под угрозу безопасность клиентов банков и их финансовые операции.

Ключевые факты

  • Доля заражений: по данным МВД России, Mamont отвечал за 38,7% мобильных заражений во второй половине 2025 года.
  • Другие значимые угрозы: параллельно доминировало также семейство NFCGate с долей 52,4%.
  • Способы распространения: социальная инженерия и обманные практики, побуждающие пользователей установить приложение.
  • Механизм управления: использование Telegram‑ботов в роли командного сервера (C2) для передачи команд и координации атак.

«По данным Министерства внутренних дел России, Mamont был ответственен за 38,7% мобильных заражений во второй половине 2025 года», — сообщает ведомство.

Как Mamont действует на устройстве

Mamont распространяется через обманные сценарии, которые вынуждают пользователя установить вредоносное приложение. После активации троянец запрашивает ряд критических разрешений — в первую очередь разрешение на установку себя в качестве *SMS‑приложения по умолчанию*. Это ключевой шаг в цепочке атаки, поскольку дает злоумышленнику возможность:

  • перехватывать входящие SMS;
  • отправлять SMS с скомпрометированного устройства;
  • манипулировать сообщениями (например, скрывать уведомления банка или перенаправлять коды подтверждений).

Использование Telegram как инфраструктуры C2

Анализ активности Mamont выявил сложную операционную схему: вредоносное ПО взаимодействует с инфраструктурой через Telegram — в частности, через официальные или специально созданные Telegram‑боты. Такой подход обеспечивает злоумышленникам оперативную связь с экземплярами вредоноса, повышает скрытность и усложняет задачу отслеживания и блокировки командного канала специалистами по безопасности.

Почему Mamont особенно опасен для банковского сектора

Комбинация социальной инженерии, полномочий SMS и использования Telegram для C2 делает Mamont особенно опасным в контексте финансовых операций:

  • перехват одноразовых кодов и подтверждений транзакций;
  • возможность удалённого управления отправкой фишинговых SMS от имени жертвы;
  • скрытое вмешательство в коммуникацию клиента с банком, что облегчает похищение денег и персональных данных.

Рекомендации для пользователей

  • Не устанавливайте приложения из непроверенных источников и внимательнее относитесь к запросам разрешений.
  • Не назначайте приложения SMS‑по умолчанию без веской необходимости; проверяйте, какое приложение запрашивает эту роль.
  • Включите обновления системы и используйте надежное антивредоносное ПО для мобильных устройств.
  • Для банковских операций используйте многофакторную аутентификацию, не завязанную только на SMS (например, аппаратные токены или приложения‑генераторы кодов).
  • При подозрительных SMS или неожиданных запросах к данным — напрямую свяжитесь с банком через официальный канал.

Рекомендации для организаций и команд реагирования

  • Мониторить появление новых приложений, назначенных SMS‑по умолчанию, и аномальную активность отправки/приёма SMS.
  • Анализировать сетевой трафик на предмет взаимодействия с инфраструктурой Telegram, в том числе с подозрительными ботами.
  • Внедрять детекцию команд C2 и блокировать известные IoCs (indicators of compromise).
  • Обучать клиентов и персонал методам социальной инженерии, регулярно проводить фишинг‑тесты и информационные кампании.
  • Усилить мониторинг финансовых транзакций и ввести дополнительные проверки для подозрительных переводов.

Вывод

Mamont продемонстрировал способность комбинировать классические приёмы социальной инженерии с современными инструментами управления (Telegram), что повышает его эффективность и скрытность. В условиях роста таких угроз традиционные механизмы защиты требуют усиления — как со стороны банков, так и со стороны самих пользователей. Комплексный подход, включающий технические меры, мониторинг и просвещение, остаётся ключом к снижению риска успешных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: