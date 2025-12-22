Mamont вышел на охоту: новые версии Android-трояна распространяют через домовые чаты

Компания F6, разработчик технологий для борьбы с киберпреступностью, оценила масштабы распространения в России трояна удалённого доступа Mamont, который считают одной из главных угроз 2026 г. По данным аналитиков, примерно 1,5% Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, на Mamont приходится 47% из них. Новые версии ВПО распространяют под видом списков погибших, раненых и пленных участников СВО, папок с фото и видео, а также антивирусов. Общий ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 г. может превышать 150 млн руб.

Вредоносное Android-приложение Mamont стало одной из главных угроз для клиентов ведущих российских банков. Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 подсчитали: по итогам 2025 г. Mamont выходит на первое место, опережая NFCGate по количеству скомпрометированных устройств и ущербу для пользователей.

По данным F6, примерно 1,5% всех Android-устройств пользователей в России скомпрометированы – на этих устройствах присутствуют следы различных вредоносных приложений. При общей выборке в 100 млн устройств это указывает на компрометацию приблизительно 1,5 млн устройств. В 47% из них присутствуют следы трояна удалённого доступа Mamont.

В III квартале 2025 г. число устройств, на которые пользователи в России устанавливали Mamont под видом полезных приложений, увеличивалось в среднем на 60 в день. Средняя сумма списания в результате успешных мошеннических атак за этот период составила около 30 тыс. руб. Общий ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 г. может превышать 150 млн руб.

В результате модернизации вредоносного приложения злоумышленники увеличили перечень атакуемых приложений пользователя, усовершенствовали функционал обработки перехваченных SMS и управления устройствами жертв, поставив атаки на пользователей Android-устройств на поток.

Специалисты F6 провели исследование версии Mamont образца декабря 2026 г., изучили её возможности и подготовили рекомендации по защите от угрозы.

Аналитики департамента Fraud Protection F6 называют Mamont одной из главных угроз 2026 г. Такой прогноз вызван расширением функционала в новых версиях вредоносного приложения.

Первые экземпляры этого ВПО специалисты F6 обнаружили в сентябре 2023 г. Одна из преступных групп, работавших по схеме «Мамонт», использовала в своих атаках Android-троян, который маскировали под приложение для оформления доставки товаров и распространялся через фейковый Google Play.

За два года вредоносный функционал Mamont серьёзно изменился, а киберпреступники автоматизировали процессы эксплуатации атаки. По сравнению с предыдущими версиями Mamont образца декабря 2025 г. по техническим возможностям ушёл далеко вперёд.

В 2025 г. злоумышленники заражают устройства пользователей, рассылая вредоносный файл в открытых группах популярных мессенджеров – таких как домовые чаты. Второй путь распространения Mamont – массовая рассылка фишинговых ссылок и вредоносных файлов со скомпрометированных устройств по всем контактам жертвы.

Сам вирус распространяют под видом папок с фото и видео, списков погибших, раненых и пленных участников СВО, антивирусов и под другими масками. Среди типичных названий таких вредоносных файлов – «Списки 200-300», «Списки пропавших, пленных», «Фото_СтРашной_аварии», «ФОТО», «[Название популярного поисковика]Photo», «МоеВидео».

Для большей вероятности запуска вредоносного файла получателями злоумышленники используют провокационные сообщения. Например, APK-файлы под названием «Фото_СтРашной_аварии» сопровождают текстом: «Ужас какой … насмерть разбился».

Сразу после установки вредоносного ПО происходит запрос опасного разрешения на установку основного приложения для обмена SMS по умолчанию. Это разрешение требуется Mamont для дальнейшей работы с SMS на устройстве жертвы.

После получения запрашиваемых разрешений вредоносное приложение закрывается, а в меню уведомлений появляется уведомление о наличии обновлений. Пользователь не может убрать это оповещение. Именно постоянное наличие этого оповещения позволяет Mamont постоянно работать в фоновом режиме.

Mamont образца декабря 2025 г. позволяет злоумышленникам: читать все SMS пользователя, включая архив сообщений, полученных еще до установки вредоносного приложения, и рассылать SMS с его телефона; находить на устройстве приложения банков, финансовых организаций, маркетплейсов, мессенджеров и соцсетей; получать данные о SIM-картах и отправлять USSD-запросы. Это позволяет киберпреступникам оценить примерный баланс банковских счетов жертвы, наличие у него кредитов, выяснить, пароли от каких сервисов поступают в SMS, и пополнять этими сведениями мошеннические базы данных (CRM).

Выяснив номер телефона жертвы, злоумышленники собирают информацию о ней на основе открытой информации и утечек данных через специализированные сервисы.

Чаще всего полученной информации (персональные данные, номер телефона, перехват SMS на устройстве) преступникам достаточно для выполнения незаконных финансовых операций – входа в личный кабинет банков, кредитных и микрофинансовых организаций, получения кредитов и займов, незаконных денежных переводов.

Аналитики F6 отмечают: главная угроза новой версии Mamont – в том, что её функционал позволяет превратить пользователя скомпрометированного устройства в сообщника мошенников без его ведома. Фактически ничто не мешает злоумышленникам превратить такое устройство в узел связи, через который проходит криминальный трафик, превратить устройство жертвы в источник телефонных звонков, сделать пользователя неявным дропом и распространителем ВПО.

«Для подготовки атак с использованием новых версий Mamont злоумышленники объединяют весь накопленный опыт. Сегодня мошенники собирают вредоносные приложения с учётом наиболее эффективных киберпреступных решений при помощи инструментов искусственного интеллекта. Сборка ВПО под конкретного пользователя происходит прямо в интерфейсе мошеннических баз данных (CRM) и занимает считанные минуты. NFCGate, который в 2025 г. был главной угрозой для клиентов российских банков, в 2026 станет всего лишь одной из опций Android-троянов», – сказал Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.

Рекомендации специалистов F6 для пользователей: Все известные образцы Mamont запрашивают роль приложения для обмена SMS по умолчанию. Если приложение при установке запросило такое разрешение, это может быть признаком вредоносной программы. Всегда обращайте внимание на разрешения, которые запрашивают приложения. Не предоставляйте разрешения, если не понимаете, зачем оно требуется. Например, если приложение для заказа пиццы просит дать ему разрешения для чтения контактов и отправки SMS – это сигнал тревоги. Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из SMS, сообщений в мессенджерах, писем и подозрительных сайтов. Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб. Не переходите по ссылкам из SMS и сообщений в мессенджерах, даже полученным от знакомых контактов, если вы не просили их прислать такое сообщение. Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка. Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения. Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

Рекомендации специалистов F6 для подразделений информационной безопасности банков: учитывать данные геолокации пользователей. При использовании SMS для отправки OTP-кода реализовать механизмы проверки приложения, принимающего SMS на устройстве пользователя. Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.

Например, для оценки риска транзакции и проверки получателя (KYC – know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.