Mamont ежемесячно заражает 30 тысяч смартфонов россиян, ворует по 150 млн рублей ежемесячно и бьёт по пенсионерам

Android-троян Mamont снова резко усилил активность в России. По данным UserGate, вредоносная программа заражает около 30 тыс. устройств россиян каждый месяц и остаётся одной из самых заметных мобильных угроз для банковских клиентов и пользователей «Госуслуг». Особую опасность создаёт попадание Mamont на недорогие смартфоны, которыми чаще пользуются пожилые люди и менее технически подготовленные владельцы.

Mamont уже называли самым массовым Android-вирусом 2025 года, и в 2026 году его распространение не остановилось. В UserGate сообщили ТАСС о продолжении активного заражения устройств. Статистика за январь и февраль показывает заметную концентрацию на смартфонах китайских брендов:

• Tecno с более чем 12 тыс. заражений;
• Infinix с более чем 6 тыс. случаев;
• Redmi и другие модели Xiaomi;
• бюджетные модели прочих производителей;
• устройства старших версий Android.

В компании уточнили агентству ТАСС отсутствие связи с самими брендами. Связь объясняется аудиторией недорогих устройств. Подобные смартфоны часто покупают родителям, пожилым родственникам и людям без хорошего распознавания мошеннических схем.

Mamont выбирает не самые дорогие смартфоны, а наоборот бюджетные модели, и это прямой расчёт на пожилых владельцев устройств.

По данным UserGate, динамика Mamont в 2025 году была неровной, но показала резкий рост. В январе заражений почти не фиксировали, в феврале их число выросло примерно до 5 тыс. в месяц. В марте показатель превысил 20 тыс., в апреле приблизился к 15 тыс. К сентябрю распространение снова превысило 10 тыс. заражений в месяц.

Во второй половине 2025 года, по данным МВД России, на Mamont приходилось 38,7% вредоносного ПО. Троян занял крупную долю в мобильном криминальном рынке и стал одним из главных инструментов атак на российских пользователей.

Mamont опасен возможностью перехвата SMS и push-уведомлений с кодами доступа. Подобные коды применяются для нескольких операций:

• вход в банковские приложения и кабинеты;
• подтверждение денежных операций;
• восстановление доступа к аккаунтам;
• авторизация в государственных сервисах;
• подтверждение действий на маркетплейсах.

Аналитик компьютерных инцидентов UserGate uFactor Иван Князев сообщил о частом применении злоумышленниками облегчённой версии Mamont. Она собирает базовую информацию об устройстве, данные о звонках, SMS и телеметрии. Подобный вариант используется для первичной разведки и подготовки дальнейшей атаки.

Облегчённая версия удобна для массового распространения. Она может быть менее заметной и быстрее устанавливаться. Для пользователя такая угроза выглядит почти невидимой при продолжении обычной работы телефона.

Ранее «Лаборатория Касперского» фиксировала новую волну заражений Android-устройств в России. Тогда Mamont распространяли через Telegram под видом утилиты для «разгона» сервиса и обхода ограничений. Кампания стартовала 14 февраля и уже могла затронуть тысячи пользователей.

Схемы распространения Mamont строятся вокруг социальной инженерии. Пользователю предлагают установить приложение под убедительным предлогом из целого списка приманок:

• утилита или антивирус для устройства;
• архив с фото или видео из новостей;
• список погибших или раненых участников СВО;
• инструмент для обхода ограничений сервисов;
• «полезная» программа для ускорения смартфона.

Только за ноябрь 2025 года ущерб клиентам российских банков от Mamont мог превысить 150 миллионов рублей, и это лишь один троян.

Параллельно с Mamont заметную роль играло семейство NFCGate с долей 52,4% в мобильных заражениях. Mamont использует Telegram-ботов как командную инфраструктуру с передачей команд и получением данных.

Компания F6 также оценивала масштабы распространения Mamont в России. Около 1,5% Android-устройств российских пользователей были скомпрометированы различными вредоносными приложениями, а на Mamont приходилось 47% подобных заражений. По оценке F6, ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 года мог превышать 150 млн рублей.

Для банков Mamont создаёт сложную проблему. Формально операция может выглядеть подтверждённой пользователем, поскольку код пришёл на его устройство или push был обработан внутри заражённой среды. Реально контроль над частью коммуникаций уже у злоумышленника.

Особенно уязвимы пожилые пользователи с привычкой доверять присланным инструкциям и плохим распознаванием поддельных приложений. Для компаний история тоже значима. Заражённый личный смартфон сотрудника становится источником риска через рабочие чаты, коды, почту, доступы к облачным сервисам и корпоративные уведомления.

Минимальные меры защиты для пользователей и компаний выглядят так:

• не устанавливать APK-файлы из Telegram и неизвестных сайтов;
• проверять права приложений на SMS, уведомления и звонки;
• не доверять программам для «ускорения» и «обхода» вне магазинов;
• объяснять пожилым родственникам опасность передачи кодов;
• использовать отдельное устройство для банковских операций;
• регулярно проверять список установленных приложений;
• при подозрении на заражение отключать интернет и менять пароли.

Эксперты редакции CISOCLUB отмечают, что рост заражений Mamont показывает превращение мобильного мошенничества в России в массовое явление с тонкой адаптацией под привычки пользователей. По мнению редакции, троян бьёт не по дорогим устройствам, а по тем точкам с высоким шансом социальной инженерии и низкой цифровой настороженностью.

Для банков, операторов связи, ИБ-компаний и государства защита пожилых и малоопытных пользователей превращается из социальной инициативы в значимую часть борьбы с финансовыми потерями. Без массовой работы с подобной аудиторией Mamont и похожие трояны продолжат собирать сотни миллионов рублей каждый месяц.