Forscher der haben eine neue Angriffswelle des Android-Banking-Trojaners Mamont beobachtet. Cyberkriminelle tarnen die Malware als angeblichen „Beschleuniger“ fuer Telegram, der Leistungsprobleme loesen und Sperren umgehen soll. Seit Mitte Februar 2025 wurden nach Angaben der Experten bereits Tausende Nutzer ins Visier genommen.
Android-Banking-Trojaner Mamont verbreitet sich ueber Telegram-Kommentare
Die aktuelle Kampagne basiert auf klassischer Social Engineering: Angreifer platzieren Kommentare unter Beitraegen grosser Telegram-Kanaele und versprechen, ein „langsam reagierendes“ oder eingeschraenktes Telegram per spezieller APK-Datei zu optimieren. Interessierte Nutzer werden in einen separaten Kanal gelockt, in dem ein Download-Link veroeffentlicht wird.
Statt eines legitimen Tools installiert sich jedoch der Banking-Trojaner Mamont auf dem Android-Geraet. Besonders kritisch ist, dass die Installation als Side-Loading aus unbekannter Quelle erfolgt, also ausserhalb des Google-Play-Store. Der Nutzer muss selbst umfangreiche Berechtigungen freigeben und verschafft der Schadsoftware damit – oft unbewusst – genau den Zugriff, den sie fuer den Angriff benoetigt.
Wie Mamont Geld stiehlt: Zugriff auf SMS, Push-Benachrichtigungen und Konten
Mamont gehoert zur Kategorie der Banking-Malware, deren Ziel die Kompromittierung von Online-Banking und Bezahldiensten ist. Nach der Installation fordert der Trojaner Zugriff auf SMS-Nachrichten und Push-Benachrichtigungen. So kann er Einmalcodes und Sicherheitsmitteilungen abfangen, die von Banken und Finanz-Apps verschickt werden.
Mit diesen Informationen koennen Angreifer Transaktionen bestaetigen, Zwei-Faktor-Authentifizierung (2FA) umgehen und Online-Konten uebernehmen. Das betrifft nicht nur Banking, sondern auch Messenger-Konten, bei denen Login-Codes per SMS versendet werden. Viele Varianten von Mamont verbergen ihre Aktivitaet im Hintergrund, um moeglichst lange unentdeckt zu bleiben – haeufig bemerken Betroffene den Angriff erst, wenn Geld fehlt oder Konten gesperrt wurden.
Starker Aktivitaetsanstieg 2025 und flexible Angriffsszenarien
Nach Daten von Kaspersky hat sich die Zahl der von Mamont betroffenen Nutzer im Jahr 2025 fast verzehnfacht im Vergleich zum Vorjahr. Die Betreiber des Trojaners setzen dabei nicht auf ein einziges Einfallstor: Neben Telegram-Fake-Apps nutzt die Gruppe unter anderem Phishing-Webseiten, gefaelschte App-Updates und angebliche Tools zum Umgehen von Sperren oder zum „anonymen“ Zugriff auf beliebte Dienste.
Die Kampagne rund um den vermeintlichen Telegram-Beschleuniger zeigt exemplarisch, wie schnell sich Cyberkriminelle an aktuelle Diskussionen und Nutzerbeduerfnisse anpassen. Alles, was verspricht, Alltagsprobleme zu loesen – Beschleunigung, Entsperrung, Anonymisierung – wird gezielt als Lockmittel fuer Android-Malware eingesetzt.
Schutz vor Mamont und anderen Android-Banking-Trojanern
Installationen aus unbekannten Quellen konsequent vermeiden
Die wichtigste Schutzmassnahme besteht darin, keine APK-Dateien aus Chats, Kanaelen oder inoffiziellen Webseiten zu installieren. Anwendungen sollten moeglichst ausschliesslich aus dem Google Play Store oder vertrauenswuerdigen Unternehmens-Katalogen stammen. In den Android-Einstellungen empfiehlt es sich, die Option zur Installation aus unbekannten Quellen dauerhaft zu deaktivieren und nur in absoluten Ausnahmefaellen temporär zu aktivieren.
Telegram-Angebote kritisch pruefen und Spam melden
Angebliche Tools, die Telegram „beschleunigen“, „entsperren“ oder „vollstaendig anonym machen“ sollen, sind ein typisches Einfallstor fuer Banking-Malware. Vor jedem Klick auf einen Link sollten Nutzer pruefen, wie alt der Kanal ist, wie viele Beitraege existieren und ob Kommentare massenhaft Download-Links enthalten. Verdächtige Werbung fuer APK-Dateien sollte ignoriert und den Kanal-Administratoren gemeldet werden.
Mobile Security-Loesungen und Basis-Hygiene einsetzen
Aktuelle Mobile-Security-Suiten fuer Android erkennen die meisten bekannten Banking-Trojaner-Familien, einschliesslich Mamont, und blockieren deren Installation oder Aktivitaet. Regelmaessige Updates und komplette Systemscans erhoehen die Chance, neue Varianten fruehzeitig zu identifizieren. Zusaetzlich sollten Nutzer App-Berechtigungen regelmaessig ueberpruefen, wo moeglich auf App-basierte 2FA statt SMS setzen und Banking idealerweise auf moeglichst wenigen, gut geschuetzten Geraeten buendeln.
Die aktuelle Verbreitungswelle des Banking-Trojaners Mamont ueber einen gefaelschten Telegram-Beschleuniger verdeutlicht, dass Android-Geraete ein zentrales Ziel moderner Cyberkriminalitaet bleiben. Wer Installationen auf offizielle Quellen beschraenkt, Links in Messengern grundsaetzlich hinterfragt und Mobile-Security-Loesungen einsetzt, reduziert sein Risiko deutlich. Es lohnt sich, die eigenen Sicherheitsgewohnheiten regelmaessig zu ueberpruefen und das Umfeld – Familie, Freunde, Kolleginnen und Kollegen – fuer solche Angriffsmaschen zu sensibilisieren, damit Banking-Trojaner wie Mamont weniger Angriffsfläche finden.
