Mamont вышел на охоту: разбираем новую версию Android-трояна, ставшего главной угрозой 2025 года

Рост угрозы носил экспоненциальный характер. По информации F6, в третьем квартале 2025 года количество новых зараженных устройств в России увеличивалось в среднем на 60 в день. Средняя сумма одного успешного списания составляла около 30 тысяч рублей. При этом официальная статистика МВД России за вторую половину года отводила на Mamont 38,7% случаев заражения мобильных устройств, а на различные версии NFCGate - 52,4%. Однако по совокупным финансовым последствиям Mamont вышел на первое место.

Эволюция угрозы показывает два разных пути. NFCGate изначально создавался как легитимное приложение, на базе которого позже были разработаны вредоносные модификации. Mamont с самого начала разрабатывался как инструмент для киберпреступлений. Первые образцы этого вредоносного программного обеспечения (ВПО) были обнаружены специалистами F6 еще в сентябре 2023 года. Тогда троянец, замаскированный под приложение для доставки, распространялся через фейковый Google Play. За первые десять дней атак с его помощью мошенники похитили почти 3 миллиона рублей.

За два года функционал Mamont значительно усовершенствовался, а процессы эксплуатации атаки были автоматизированы. По сравнению с версией 2023 года, образец конца 2025 года получил расширенный перечень атакуемых банковских приложений и улучшенные механизмы перехвата SMS. Ключевым нововведением стала полная автоматизация управления через Telegram-бота, что значительно снизило технический порог входа для преступных групп.

Тактика распространения и маскировка

Схема распространения также претерпела изменения. Если в 2023 году троянец размещался в фейковых магазинах приложений, то к 2025 году мошенники перешли на прямую фишинговую рассылку вредоносных APK-файлов. Основными каналами стали открытые чаты в популярных мессенджерах, такие как домовые чаты. Для рассылки активно используются уже скомпрометированные устройства жертв.

Маскировка приложения стала более изощренной. Вредонос распространяется под видом папок с фото и видео, антивирусных программ от известных банков, а также под предлогами, эксплуатирующими социально значимые темы. Например, злоумышленники используют названия вроде "Списки 200-300" или "Списки пропавших, пленных", чтобы спровоцировать пользователя на установку.

Вредоносный функционал и управление через Telegram

После установки Mamont первым делом запрашивает опасное разрешение на установку в качестве основного приложения для обмена SMS по умолчанию. Получив его, приложение создает постоянное уведомление в системе, которое нельзя удалить. Это уведомление обеспечивает троянцу постоянную работу в фоновом режиме.

Основной функционал последней версии Mamont включает перехват SMS в реальном времени, выгрузку всего архива сообщений, поиск банковских и финансовых приложений на устройстве, сбор данных о SIM-картах, отправку USSD-запросов и массовую рассылку SMS. Все управление осуществляется через Telegram-бота, с которым вредоносное приложение поддерживает постоянное соединение.

Анализ кода показал, что троянец поддерживает набор команд, таких как "/showmsg" для начала перехвата SMS, "/getallsms" для выгрузки всего архива сообщений, "/spamallcontact" для рассылки SMS всем контактам жертвы и "/ussd" для отправки USSD-запроса. Полученные SMS автоматически анализируются ботом на предмет наличия информации о балансах счетов, кредитах и одноразовых паролях (OTP).

Инфраструктура и бизнес-модель преступников

Инфраструктура злоумышленников построена вокруг Telegram. Она включает бота для управления зараженными устройствами и закрытые чаты для координации действий. Анализ этих чатов, проведенный экспертами F6, выявил высокий уровень организации преступных групп. Внутри них существуют внутренние правила, четкое разделение обязанностей и даже приоритеты по микрофинансовым организациям, где берутся займы на имя жертв.

Доступ к вредоносному инструментарию коммерциализирован. Стоимость аренды панели управления (бота) составляет 300 долларов в месяц, а цена полной продажи с последующей поддержкой - 250 долларов плюс 15% от прибыли группы. Выплаты участникам производятся в криптовалюте. Простота использования и относительно низкая стоимость делают Mamont крайне привлекательным для широкого круга преступников, что объясняет его стремительное распространение.

Рекомендации по защите

Специалисты F6 дают пользователям ряд ключевых рекомендаций для защиты. Во-первых, критически важно обращать внимание на запрашиваемые приложением разрешения. Любой запрос на назначение приложения для обмена SMS по умолчанию должен вызвать крайнюю подозрительность. Во-вторых, не следует устанавливать приложения по ссылкам из SMS или сообщений в мессенджерах, особенно от незнакомцев. Также необходимо избегать ввода логинов, паролей и CVV-кодов на подозрительных сайтах и в новых приложениях.

В случае получения предложения обновить банковское приложение по присланной ссылке, стоит самостоятельно позвонить на горячую линию банка для проверки. Если карта скомпрометирована, ее необходимо немедленно заблокировать. Банковские приложения имеют встроенные механизмы защиты, и их удаление по просьбе третьих лиц только упрощает задачу мошенникам. Бдительность и осторожность при установке любого программного обеспечения остаются основными способами противостояния таким сложным угрозам, как Mamont.

MD5

• 1fe7a3395c6e57bbef7ab8c663b0cebc
• 4351a35613a06a10aa8c2f1b1e87edc2
• 794cec7f06fe67c71adc87df4c739570

SHA1

• 0a3f29dc2cb6d970f836b8fbda4b976a043f4099
• 7d339584cf2ca20f86a273662158f87cd6e15488
• eca344e9a489eb7cd15ceb78568fcc69ced17e89

SHA256

• 46da5fd63012361685563a919039444929bd0e6ad1f73e36b4a7ddf39625f71b
• 4a47f9c49216075c6e0c9d64b2ba110ca19816fa86cb43afe9ccb941f75305a0
• 775aa4a163ae291a8b83ed25c6ce079ec7d1797c9411f2de181e902ac7bc910d