Mamont y Triada: auge del malware bancario y backdoors en Android en Rusia en 2025

CyberSecureFox 🦊

Los datos recopilados por «Laboratorio Kaspersky» entre enero y agosto de 2025 señalan un repunte sin precedentes del malware móvil en Rusia. El troyano bancario Mamont encabeza la actividad maliciosa en dispositivos Android: los usuarios afectados crecieron 36 veces respecto al mismo periodo de 2024 y el total ya roza el millón. En paralelo, el backdoor modular Triada quintuplicó su alcance, con cientos de miles de víctimas en el país.

Mamont: troyano bancario para SMS y fraude de alto volumen

Mamont monetiza los ataques explotando SMS banking. Tras su instalación, solicita permisos para leer SMS y notificaciones push, intercepta códigos de un solo uso (OTP) y automatiza transferencias sin conocimiento del usuario. Variantes recientes también usan los OTP para secuestrar cuentas en mensajería y redes sociales, extendiendo el impacto más allá de la banca.

La distribución se apoya en ingeniería social y sideloading de paquetes .apk fuera de tiendas oficiales. Los atacantes disfrazan los archivos como “foto” o “video”, o se hacen pasar por apps de trabajo remoto, rastreadores de entrega o contenidos educativos, explotando la urgencia y la confianza del usuario.

Por qué Mamont sigue siendo eficaz contra Android

El éxito de Mamont se explica por su uso de permisos sensibles (SMS, notificaciones y, a menudo, Accesibilidad) que posibilitan el secuestro de códigos y la ejecución desatendida de operaciones. La persistencia del SMS como segundo factor en servicios financieros y el hábito de instalar APK desde enlaces en chats sin verificar su firma digital amplifican su alcance.

Triada: backdoor modular con control profundo y persistencia

Triada opera como un backdoor con capacidades de control remoto y carga de módulos. La ola reciente incorpora funciones para robar cuentas de mensajería y redes sociales, suplantar números en llamadas, gestionar SMS, vigilar la navegación y enviar o borrar mensajes de forma sigilosa, otorgando a los atacantes un control casi total del dispositivo comprometido.

Un vector especialmente crítico es su presencia en firmware comprometido de terminales nuevos, sobre todo falsificaciones de modelos populares. En estos casos, el malware puede sobrevivir a un restablecimiento de fábrica, evidenciando riesgos de la cadena de suministro y la necesidad de reflashear con imágenes oficiales o acudir a servicios autorizados.

Impacto y análisis: qué nos dicen las cifras

El salto de 36x en Mamont y de 5x en Triada sugiere una industrialización del cibercrimen móvil: campañas masivas por mensajería, kits listos para usar y monetización directa vía banca por SMS. Este patrón encaja con tendencias observadas en el ecosistema Android, donde la combinación de sideloading, permisos amplios y 2FA por SMS sigue abriendo puertas a actores maliciosos. La evidencia refuerza la recomendación de migrar a autenticación en app o TOTP/hardware keys y de restringir la instalación de APK fuera de tiendas confiables.

Buenas prácticas de ciberseguridad para Android

Instalación segura: utilice solo tiendas oficiales y desconfíe de cualquier “foto.apk” o “video.apk”. Active Play Protect u opciones equivalentes de verificación de apps.

Gestión de permisos: revise y revoque accesos a SMS, notificaciones, servicios de accesibilidad y roles de Administrador del dispositivo.

Autenticación fuerte: minimice el SMS-2FA; priorice confirmaciones en la app del banco o códigos de autenticador/hardware. Proteja la SIM con PIN y vigile movimientos asociados al número.

Integridad del dispositivo: verifique modelo e IMEI al comprar y evite vendedores no confiables. Si sospecha de malware a nivel de firmware, realice reflashing oficial o acuda a un servicio técnico autorizado.

Respuesta a incidentes: desconecte el equipo de redes, contacte al banco, cambie contraseñas desde un dispositivo limpio, restaure a fábrica y reinstale solo desde fuentes confiables, recuperando datos desde copias verificadas.

El repunte de Mamont y Triada en 2025 confirma que las amenazas móviles evolucionan y escalan con rapidez. Adoptar políticas MDM/EMM que limiten el sideloading, formar a usuarios para identificar APK maliciosos y fortalecer la autenticación reduce de forma sustancial el riesgo de pérdidas financieras y de secuestro de cuentas. Priorizar estas medidas hoy es la forma más eficaz de blindar su entorno Android mañana.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.