Обновлённый Android‑троян Mamont возвращается в Россию с новым функционалом и готовится хакерами к масштабным атакам
Изображение: recraft
Специалисты Angara MTDR сообщили о появлении усовершенствованных версий Android‑трояна Mamont. По данным компании, вредоносная кампания, получившая широкое распространение ещё несколько лет назад, возвращается в активную фазу. Исследование новых образцов вредоносного ПО опубликовал руководитель направления обратной разработки Angara MTDR Александр Гантимуров на платформе Habr.
Обнаруженные APK-файлы маскируются под изображения и чаще всего рассылаются через мессенджеры в рамках объявлений о продаже домашних вещей — типичный предлог связан с переездом. Названия файлов почти всегда содержат слова «фото» или «photo», что позволяет им не вызывать подозрений у жертвы.
Размер приложений составляет около 10 Мбайт, и хотя между образцами есть различия, они несущественные.
После установки вредоносное ПО запрашивает обширный набор разрешений — доступ к СМС, звонкам, камере, уведомлениям, а также к выполнению USSD-команд. Получив разрешения, приложение открывает поддельный веб-сайт, замаскированный под сервис хранения изображений. Основная цель — сбор пользовательских данных, причём как технической, так и потенциально персональной информации.
В текущей версии часть функций передачи данных ещё не активирована, однако в коде присутствуют подготовленные участки для расширения возможностей.
Например, обнаружен интерфейс uploadVerificationData, предназначенный для загрузки дополнительных сведений с устройства. Передача данных осуществляется в формате JSON через клиент Retrofit2, используемый для взаимодействия с управляющим сервером.
По словам Александра Гантимурова, анализ кода указывает на планы злоумышленников добавить новые функции по сбору персональных данных, в том числе номеров документов. Это может свидетельствовать о подготовке масштабной фишинговой кампании, нацеленной на систематическое получение и последующее использование украденных сведений.
Mamont в новых модификациях фокусируется на скрытой активности. Он не только отправляет и получает СМС от имени пользователя, но и способен открывать произвольные веб-страницы, что расширяет его возможности в рамках многоэтапных атак. Кроме того, активное использование социальных предлогов — переезд, распродажа вещей, вложенные фото — позволяет злоумышленникам повышать эффективность распространения.
