Личный кабинет
        (925) 090-4039     (925) 090-40-64
Москва, Кривоколенный пер 14/1
vs@vestnik-sviazy.ru
написать нам
В вашей корзине
(пусто)
 

Mamont вышел на охоту

23 Дек 25
23 Декабря 2025, 13:17

Компания F6 оценила масштабы распространения в России трояна удаленного доступа Mamont, который считают одной из главных угроз 2026 года.

Вредоносное Android-приложение Mamont стало одной из главных угроз для клиентов ведущих российских банков. Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 подсчитали: по итогам 2025 года Mamont выходит на первое место, опережая NFCGate по количеству скомпрометированных устройств и ущербу для пользователей.

По данным F6, примерно 1,5 процента всех Android-устройств пользователей в России скомпрометированы – на этих устройствах присутствуют следы различных вредоносных приложений. При общей выборке 100 миллионов это указывает на компрометацию приблизительно 1,5 миллиона устройств. В 47 процентах из них присутствуют следы трояна удаленного доступа Mamont.

В III квартале 2025 года число устройств, на которые пользователи в России устанавливали Mamont под видом полезных приложений, увеличивалось в среднем на 60 в день. Средняя сумма списания в результате успешных мошеннических атак за этот период составила около 30 тысяч рублей. Общий ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 года может превышать 150 миллионов рублей.

В результате модернизации вредоносного приложения злоумышленники увеличили перечень атакуемых приложений пользователя, усовершенствовали функционал обработки перехваченных СМС и управления устройствами жертв, поставив атаки на пользователей Android-устройств на поток.

Специалисты F6 провели исследование версии Mamont образца декабря 2025 года, изучили ее возможности и подготовили рекомендации по защите от угрозы. Аналитики департамента Fraud Protection F6 называют Mamont одной из главных угроз 2026 года. Такой прогноз вызван расширением функционала в новых версиях вредоносного приложения.

Первые экземпляры этого ВПО специалисты F6 обнаружили в сентябре 2023 года. Одна из преступных групп, работавших по схеме Mamont, использовала в своих атаках Android-троян, который маскировали под приложение для оформления доставки товаров и распространялся через фейковый Google Play.

За два года вредоносный функционал Mamont серьезно изменился, а киберпреступники автоматизировали процессы эксплуатации атаки. По сравнению с предыдущими версиями Mamont образца декабря 2025 года по техническим возможностям ушел далеко вперед.

В 2025 году злоумышленники заражают устройства пользователей, рассылая вредоносный файл в открытых группах популярных мессенджеров, таких как домовые чаты. Второй путь распространения Mamont – массовая рассылка фишинговых ссылок и вредоносных файлов со скомпрометированных устройств по всем контактам жертвы.

Сам вирус распространяют под видом папок с фото и видео, списков погибших, раненых и пленных участников СВО, антивирусов и под другими масками. Среди типичных названий таких вредоносных файлов «Списки 200-300», «Списки пропавших, пленных», «Фото_СтРашной_аварии», «ФОТО», «[Название популярного поисковика]Photo», «МоеВидео».

Для большей вероятности запуска вредоносного файла получателями злоумышленники используют провокационные сообщения. Например, APK-файлы под названием «Фото_СтРашной_аварии» сопровождают текстом: «Ужас какой … насмерть разбился».

Сразу после установки вредоносного ПО происходит запрос опасного разрешения на установку основного приложения для обмена СМС по умолчанию. Это разрешение требуется Mamont для дальнейшей работы с СМС на устройстве жертвы.

После получения запрашиваемых разрешений вредоносное приложение закрывается, а в меню уведомлений появляется уведомление о наличии обновлений. Пользователь не может убрать это оповещение. Именно постоянное наличие этого оповещения позволяет Mamont постоянно работать в фоновом режиме.

Mamont образца декабря 2025 года позволяет злоумышленникам читать все СМС пользователя, включая архив сообщений, полученных еще до установки вредоносного приложения, и рассылать СМС с его телефона; находить на устройстве приложения банков, финансовых организаций, маркетплейсов, мессенджеров и соцсетей; получать данные о SIM-картах и отправлять USSD-запросы. Это позволяет киберпреступникам оценить примерный баланс банковских счетов жертвы, наличие у него кредитов, выяснить, пароли от каких сервисов поступают в СМС, и пополнять этими сведениями мошеннические базы данных (CRM).

Выяснив номер телефона жертвы, злоумышленники собирают информацию о ней на основе открытой информации и утечек данных через специализированные сервисы.

Чаще всего полученной информации (персональные данные, номер телефона, перехват СМС на устройстве) преступникам достаточно для выполнения незаконных финансовых операций – входа в личный кабинет банков, кредитных и микрофинансовых организаций, получения кредитов и займов, незаконных денежных переводов.

Аналитики F6 отмечают, что главная угроза новой версии Mamont – функционал позволяет превратить пользователя скомпрометированного устройства в сообщника мошенников без его ведома. Фактически ничто не мешает злоумышленникам превратить такое устройство в узел связи, через который проходит криминальный трафик, превратить устройство жертвы в источник телефонных звонков, сделать пользователя неявным дропом и распространителем ВПО.

Подробности исследования, индикаторы компрометации – в блоге на сайте F6.

Рекомендации специалистов F6 для пользователей:
все известные образцы Mamont запрашивают роль приложения для обмена СМС по умолчанию. Если приложение при установке запросило такое разрешение, это может быть признаком вредоносной программы;
всегда обращайте внимание на разрешения, которые запрашивают приложения. Не предоставляйте разрешения, если не понимаете, зачем оно требуется. Например, если приложение для заказа пиццы просит дать ему разрешения для чтения контактов и отправки СМС – это сигнал тревоги;
не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов;
не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб;
не переходите по ссылкам из СМС и сообщений в мессенджерах, даже полученным от знакомых контактов, если вы не просили их прислать такое сообщение;
если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка;
если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте ее, позвонив на горячую линию банка, или с использованием банковского приложения;
не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

Рекомендации специалистов F6 для подразделений информационной безопасности банков:
учитывать данные геолокации пользователей;
при использовании СМС для отправки OTP-кода реализовать механизмы проверки приложения, принимающего СМС на устройстве пользователя;
реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа. Например, для оценки риска транзакции и проверки получателя (KYC – know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.

Возврат к списку