Der Android-Trojaner Mamont hat sich binnen weniger Quartale zu einem der wichtigsten Werkzeuge russischsprachiger Cyberkrimineller entwickelt. Nach Analysen des Sicherheitsunternehmens F6 entfallen bereits 47 % aller kompromittierten Android-Geräte in Russland auf diese Malware. Allein im November 2025 soll der finanzielle Schaden durch Mamont-basierte Betrugsoperationen über 150 Mio. Rubel betragen haben – ein deutliches Signal, wie professionell der Markt für mobile Banking-Trojaner inzwischen organisiert ist.
Mamont als dominanter Banking-Trojaner im russischen Android-Ökosystem
F6 geht davon aus, dass rund 1,5 % aller Android-Geräte in Russland mit Schadsoftware infiziert sind. Bei einer geschätzten Basis von 100 Mio. Smartphones entspricht das etwa 1,5 Mio. kompromittierten Geräten. Davon sollen fast 700 000 Installationen auf Mamont entfallen – eine für mobile Malware außergewöhnlich hohe Verbreitung.
Im dritten Quartal 2025 stieg die Zahl der infizierten Geräte im Schnitt um etwa 60 neue Fälle pro Tag. Pro erfolgreich angegriffenem Nutzer liegt der durchschnittliche Verlust bei etwa 30 000 Rubel. Parallel dazu zeigen Daten des russischen Innenministeriums, dass Mamont in der zweiten Jahreshälfte 2025 bereits für knapp 39 % der registrierten mobilen Infektionen verantwortlich war, während die „Reverse“-Variante von NFCGate auf 52,4 % kam. Experten erwarten, dass Mamont sich 2026 endgültig als führende Android-Bedrohung im russischen Banking-Sektor etabliert.
Erste Kampagnen mit Mamont wurden bereits im September 2023 beobachtet. Damals tarnte sich der Trojaner als Lieferdienst-App in einem gefälschten Google-Play-Store und erbeutete innerhalb von zehn Tagen fast 3 Mio. Rubel. Seitdem wurde der Code kontinuierlich erweitert und professionalisiert – ein typisches Muster, das auch globale Sicherheitsanbieter bei anderen Banking-Trojanern beobachten.
Infektionskette: Phishing-APK, Messenger und Social Engineering
Emotional aufgeladene Tarnung der Mamont-APK
Aktuelle Mamont-Versionen werden nicht mehr über App-Stores, sondern primär per direktem APK-Phishing in Messengern verbreitet. Angreifer platzieren Links und Dateien in offenen oder halbgeschlossenen Chats, darunter Hausgemeinschafts-, Nachbarschafts- oder lokale Gruppen.
Die Schad-APK wird als vermeintlicher Foto- oder Videoinhalt getarnt, häufig mit stark emotionalen oder schockierenden Themen: „Listen 200-300“, „Listen Vermisste, Gefangene“, „Foto_schwerer_Unfall“, „FOTO“ oder „MeinVideo“. Begleittexte wie „Das ist furchtbar… tödlicher Unfall“ sollen die Hemmschwelle zum Öffnen der Datei senken. Diese Form von Social Engineering entspricht gängigen Mustern moderner Phishing-Kampagnen.
Kritische SMS-Rechte und dauerhafte Verankerung im System
Nach der Installation fordert Mamont das Recht, Standard-SMS-App des Geräts zu werden. Diese Berechtigung ermöglicht es, SMS zu lesen, abzufangen, zu löschen und selbst zu versenden – inklusive Einmalpasswörtern (OTP) und Banking-Benachrichtigungen. Genau hier liegt der Kern des finanziellen Missbrauchs.
Sobald die Rechte erteilt sind, minimiert sich die App optisch, bleibt jedoch über eine dauerhafte Benachrichtigung („Updates“ o. Ä.) im Hintergrund aktiv. Diese lässt sich über Standardfunktionen kaum entfernen. Über diesen Hintergrunddienst hält der Trojaner seine Persistenz aufrecht und empfängt laufend Kommandos der Angreifer.
Funktionen, Telegram-Steuerung und kriminelles Ökosystem um Mamont
Telegram-Bot als Command-and-Control-Infrastruktur
Mamont verfügt über ein umfangreiches Arsenal klassischer Banking-Trojaner-Funktionen: Er exfiltriert SMS, verschickt Nachrichten im Namen der Opfer, führt USSD-Befehle aus und verteilt Phishing-Links automatisiert an alle Kontakte im Adressbuch, um weitere Infektionen zu erzeugen.
Die Steuerung erfolgt über einen Telegram-Bot. Direkt nach der Aktivierung sendet der Trojaner ein Initialisierungspaket mit Geräte-ID, Android-Version, installierten Apps sowie SIM-Kartendaten an die Bot-Infrastruktur. Anschließend fragt der Hintergrunddienst regelmäßig über das Telegram-Bot-API nach neuen Befehlen ab. Das bestehende Kommando-Set erlaubt Angreifern die nahezu vollständige Fernkontrolle des Smartphones – von der Verwaltung infizierter Geräte über den Start und Stopp der SMS-Überwachung bis hin zur Massen-SMS-Verteilung und dem erzwungenen Beenden der Schadsoftware.
Datenanalyse, Monetarisierung und Arbeitsteilung der Täter
Aus den abgegriffenen SMS erstellt Mamont automatisiert Kontextprofile der Opfer: Kontostände, Kreditlinien, typische OTP-Formate und Benachrichtigungen von Banken oder Mikrofinanzinstituten. Ergänzend greifen Täter auf Dienste zur Auswertung offener Daten und bekannter Datenlecks zurück, um ein möglichst vollständiges Bild der finanziellen Situation zu gewinnen.
Diese Informationsbasis reicht meist aus, um Fremdzugriffe auf Online-Banking und MFO-Konten durchzuführen, Kredite zu beantragen und Überweisungen ohne Wissen des Gerätebesitzers anzustoßen. In den beteiligten Gruppen herrscht eine klare Arbeitsteilung; oftmals genießen Mikrofinanzorganisationen Priorität, da ihre Prüfmechanismen weniger strikt sind. Auszahlungen erfolgen typischerweise auf Kryptowährungs-Wallets.
Die Steuerungs- und Verwaltungsoberfläche von Mamont – ebenfalls ein Telegram-Bot – wird in einschlägigen Kreisen verkauft oder vermietet: rund 300 US‑Dollar pro Monat für Miete oder etwa 250 US‑Dollar plus 15 % Gewinnbeteiligung als „Lizenz“ mit Support. Schad-APKs erzeugen die Betreiber über einen separaten Builder, der seinerseits per Bot bedient wird. Laut F6 nutzen die Hintermänner zunehmend KI-Tools, um Köder-Apps und Tarnungen in wenigen Minuten an Zielgruppen anzupassen. Die Kombination aus günstiger Einstiegshürde, Automatisierung und fehlender technischer Hürden zieht eine Vielzahl unterschiedlicher Tätergruppen an.
Warum Mamont für Alltagsnutzer besonders gefährlich ist
Das Gefahrenpotenzial von Mamont beschränkt sich nicht auf den direkten Kontodiebstahl. Ein kompromittiertes Smartphone wird zu einem Knotenpunkt für weitere Angriffe: Es versendet Phishing-Nachrichten an Kontakte, dient als Plattform für betrügerische Transaktionen und kann sogar für automatisierte Anrufe eingesetzt werden. Viele Betroffene bemerken lange nicht, dass sie Teil einer kriminellen Infrastruktur geworden sind.
Konkrete Schutzmaßnahmen gegen Android-Banking-Trojaner
Um das Risiko einer Infektion durch Mamont oder ähnliche Android-Banking-Trojaner zu senken, empfehlen sich folgende Maßnahmen:
– Keine APK-Installationen aus Messengern oder sozialen Netzwerken, insbesondere nicht bei emotional aufgeladenen Inhalten oder schockierenden „Listen“ und Unfallvideos.
– Wo möglich, die Installation aus unbekannten Quellen deaktivieren und nur offizielle App-Stores nutzen.
– Apps, deren Herkunft unklar ist, keine SMS-Rechte und keine Rolle als Standard-SMS-App zuweisen.
– Kritisch mit allen Nachrichten umgehen, die angebliche Listen von Opfern, Vermissten oder Kriegsgefangenen oder drastische Fotos/Videos enthalten – besonders von unbekannten Absendern.
– Eine aktuelle Mobile-Security-Lösung einsetzen und Betriebssystem sowie Apps regelmäßig aktualisieren.
– Im Online-Banking Transaktionslimits setzen und, wo möglich, auf Push-TAN oder Authenticator-Apps statt SMS-TAN umsteigen.
Die Entwicklung von Mamont zeigt, wie schnell sich der Markt für mobile Cyberkriminalität professionalisiert: Automatisierte Builder, Telegram-basierte Steuerung und der Einsatz von KI senken die Einstiegshürden und skalieren Angriffe auf Millionen von Nutzern. Wer Android-Geräte privat oder geschäftlich nutzt, sollte Sicherheitsbewusstsein, digitale Hygiene und technische Schutzmaßnahmen konsequent kombinieren – denn beim nächsten mobilen Trojaner ist es oft nur eine Frage der Zeit, bis die eigene Nummer auf der Zielliste steht.
