Nach aktuellen Daten der Kaspersky Lab (Januar–August 2025) dominiert der mobile Bankentrojaner Mamont die Bedrohungslandschaft auf Android-Geräten in Russland. Die Zahl der Opfer stieg im Jahresvergleich um das 36‑Fache und nähert sich der Marke von einer Million. Parallel verzeichnet der modulare Backdoor Triada eine Verfünffachung der Angriffe; betroffen sind mehrere Hunderttausend Nutzerinnen und Nutzer.
Bankentrojaner Mamont: Taktiken, Angriffsziele und Verbreitungswege
Mamont zielt auf die Monetarisierung über SMS-Banking. Nach der Installation erzwingt die Malware Zugriffe auf SMS und Push-Benachrichtigungen, fängt Einmalcodes ab und stößt unbemerkt Transaktionen an. Varianten missbrauchen dieselben Mechanismen, um Konten in Messengern zu übernehmen, wodurch sich der Schaden über reine Banking-Funktionen hinaus ausweitet.
Die Verbreitung erfolgt überwiegend via Social Engineering und Sideloading. Angreifer tarnen .apk-Installationspakete als „Foto“ oder „Video“ in Chats oder geben sie als legitime Remote-Work-Tools, Liefer-Tracker oder Lern-Apps aus – Szenarien, die auf Vertrauen und Dringlichkeit setzen.
Warum Mamont 2025 so wirksam bleibt
Der Trojaner kombiniert erweiterte Berechtigungen (Zugriff auf SMS, Benachrichtigungen und häufig Bedienungshilfen) mit automatisierten Abläufen zum Code-Abgriff. Begünstigend wirkt die fortbestehende Nutzung von SMS als zweitem Faktor. Fachgremien wie NIST stufen SMS-2FA seit Jahren als anfälliger gegenüber SIM‑Swap und Abfangszenarien ein (vgl. NIST SP 800‑63B). Hinzu kommt die verbreitete Praxis, Apps aus Chat-Links zu installieren, ohne Quelle und Signatur zu prüfen.
Backdoor Triada: Tiefe Persistenz, breiter Funktionsumfang und Lieferkettenrisiken
Triada ist ein modularer Backdoor mit umfassenden Remote-Control-Fähigkeiten. Die aktuelle Welle erlaubt unter anderem das Kapern von Messenger- und Social‑Media‑Konten, die Manipulation von Rufnummernanzeigen bei Anrufen, die Kontrolle von SMS, das Tracking von Browser-Aktivitäten sowie das verdeckte Versenden und Löschen von Nachrichten. Damit erhalten Angreifer nahezu vollständige Kontrolle über Gerät und Kommunikation.
Besonders kritisch: einzelne Varianten werden über kompromittierte Firmware auf neuen, oft gefälschten Geräten verteilt. In solchen Fällen überlebt der Schädling sogar einen Werksreset. Abhilfe schafft nur das Flashen offizieller Firmware – ein deutliches Indiz für Supply‑Chain‑Risiken im Android-Ökosystem. Vergleichbare Lieferkettenprobleme sind in Analysen der ENISA-Threat-Landscape regelmäßig als wachsendes Risiko dokumentiert.
Schutzmaßnahmen: So sichern Sie Android gegen Mamont und Triada ab
Installationshygiene: Apps nur aus vertrauenswürdigen Quellen (Google Play, Hersteller-Store) beziehen. Dateien wie „foto.apk“ oder „video.apk“ sind ein klarer Red‑Flag. Deaktivieren Sie Sideloading, wo immer organisatorisch möglich (MDM/EMM‑Richtlinien).
Rechtemanagement: Zugriffe auf SMS, Benachrichtigungen, Bedienungshilfen und „Geräteadministrator“ regelmäßig prüfen und unnötige Rechte widerrufen. Auffällige Anfragen nach Aktivierung von Bedienungshilfen sind besonders kritisch.
Schutztechnologien aktivieren: App-Überprüfung wie Google Play Protect einschalten und ein renommiertes mobiles Schutzprodukt nutzen, das Bankentrojaner und Backdoors erkennt. Unternehmen sollten MDM/EMM mit Richtlinien gegen Sideloading und für App‑Signaturprüfung erzwingen.
Stärkere Authentifizierung: Wo möglich, von SMS‑2FA auf App‑basierte Bestätigung oder Hardware‑/TOTP‑Tokens umstellen. SIM‑Karte mit PIN schützen und Kontoaktivitäten überwachen.
Geräteintegrität und Beschaffung: Modell und IMEI beim Kauf prüfen, unseriöse Händler meiden. Bei Verdacht auf Firmware‑Manipulation nur offiziell neu flashen oder einen autorisierten Servicepartner beauftragen.
Incident Response: Gerät sofort offline nehmen, Bank informieren, Passwörter von einem sauberen Gerät ändern, Werksreset durchführen, nur aus vertrauenswürdigen Quellen neu installieren und Daten aus geprüften Backups wiederherstellen.
Die stark gewachsene Aktivität von Mamont und Triada zeigt, wie schnell sich mobile Angriffe professionalisieren und skalieren. Wer jetzt Installationswege härtet, Berechtigungen strikt verwaltet, SMS‑2FA schrittweise ablöst und Geräteflotten per MDM absichert, reduziert das Risiko für finanzielle Verluste und Kontoübernahmen signifikant. Unternehmen wie Privatanwender sollten ihre mobilen Sicherheitsroutinen zeitnah überprüfen und anpassen.