Исследователи зафиксировали новую волну распространения банковского трояна Mamont, нацеленного на устройства под управлением Android. В рамках актуальной вредоносной кампании злоумышленники продвигают поддельное приложение, которое якобы ускоряет работу Telegram и помогает обходить ограничения мессенджера. По оценкам экспертов, с середины февраля атака уже затронула тысячи пользователей.
Как злоумышленники распространяют банковский троян Mamont через Telegram
Основой схемы стала социальная инженерия — набор приемов, когда киберпреступники воздействуют на доверие и эмоции жертвы, чтобы побудить ее к нужным действиям. В данном случае злоумышленники оставляют комментарии под публикациями в популярных Telegram-каналах и обещают «ускорить» медленно работающий мессенджер с помощью специального APK-файла.
Потенциальной жертве предлагается перейти в отдельный канал, где размещена ссылка на загрузку якобы полезного приложения. В действительности вместо утилиты для ускорения Telegram на устройство устанавливается банковский Android-троян Mamont. Такой подход позволяет атакующим охватывать сразу большие аудитории и использовать уже существующее доверие к крупным каналам.
Ключевой риск заключается в том, что установка APK из стороннего источника происходит в обход официального магазина приложений. В этот момент пользователь фактически сам выдает вредоносной программе все необходимые разрешения, не подозревая о подмене.
Возможности банковского трояна Mamont: кража денег и угон аккаунтов
Mamont относится к классу банковских троянов — вредоносных программ, основной задачей которых является похищение денег с банковских счетов жертвы. После установки на Android-устройство троян запрашивает доступ к SMS-сообщениям и push-уведомлениям. Эти данные используются для перехвата одноразовых кодов и уведомлений от банковских и финансовых сервисов.
Получив такой доступ, вредонос может, к примеру, перехватывать коды подтверждения операций и авторизации, которые приходят по SMS или в виде push-уведомлений. Это позволяет злоумышленникам:
— подтверждать финансовые транзакции без ведома владельца устройства;
— обходить двухфакторную аутентификацию в онлайн-банке или платёжном сервисе;
— угонять аккаунты в мессенджерах, перехватывая коды входа, присылаемые по SMS.
Некоторые модификации трояна дополнительно маскируют своё присутствие, минимизируя заметную активность на устройстве, чтобы максимально долго оставаться незамеченными. В результате пользователь может обнаружить проблему уже после списания средств с банковского счёта или блокировки его учётных записей.
Всплеск активности Mamont в 2025 году и адаптация под повестку
По данным экспертов, 2025 год стал для Mamont переломным: количество атакованных пользователей увеличилось почти в десять раз по сравнению с предыдущим годом. За это время злоумышленники разработали десятки различных схем распространения трояна — от фишинговых сайтов и поддельных обновлений до лжеприложений для обхода блокировок популярных сервисов.
Сценарий с «ускорителем» для Telegram — лишь один из вариантов, отражающих общий тренд. Киберпреступники внимательно отслеживают общественную повестку и быстро адаптируют свои схемы под то, что волнует пользователей здесь и сейчас. Представители подчёркивают, что мошенники активно играют на доверии, спешке и желании упростить доступ к привычным сервисам, поэтому любые сторонние «улучшалки» и «разблокировщики» должны вызвать подозрение.
Как защитить Android-устройство от банковских троянов Mamont и подобных угроз
Отказ от установки APK из непроверенных источников
Основной совет экспертов — не устанавливать APK-файлы из сторонних каналов и чатов, даже если они размещены в популярных Telegram-сообществах. Безопаснее всего загружать приложения только из официального магазина Google Play или проверенных корпоративных каталогов. Отключите возможность установки приложений из неизвестных источников в настройках Android и включайте её только в исключительных случаях, осознавая риски.
Внимательная проверка ссылок и предложений
Любые предложения «ускорить», «разблокировать», «оптимизировать» или «сделать Telegram анонимным» через установку отдельного APK должны рассматриваться как потенциально опасные. Перед переходом по ссылке стоит проверить, кто именно её отправил, нет ли у канала признаков фейка, когда он создан, сколько у него подписчиков и публикаций. Подозрительные комментарии с навязчивой рекламой приложений лучше игнорировать и жаловаться на них администраторам.
Использование решений для мобильной кибербезопасности
Современные средства защиты для Android умеют обнаруживать и блокировать известные семейства мобильных троянов, включая банковский троян Mamont. Регулярные обновления баз позволяют таким решениям реагировать на новые версии вредоносного ПО. Рекомендуется включить защиту в режиме реального времени, периодически выполнять полное сканирование устройства и обращать внимание на любые предупреждения системы безопасности.
Новая волна распространения трояна Mamont через ложные «ускорители» Telegram показывает, что Android-пользователи по-прежнему остаются одной из главных целей киберпреступников. Важнейшей линией обороны остается сам пользователь: внимательное отношение к источникам приложений, осторожность при работе с ссылками и файлами из мессенджеров, использование актуальных средств защиты и критическое восприятие любых «чудо-решений» для обхода ограничений. Чем выше общая киберграмотность, тем сложнее злоумышленникам монетизировать подобные схемы и тем меньше шансов у банковских троянов вроде Mamont успешно атаковать новые устройства.
