El troyano bancario para Android Mamont se ha convertido en uno de los instrumentos principales de los ciberdelincuentes que operan contra usuarios rusos. De acuerdo con datos de la empresa de análisis F6, este malware está involucrado en el 47% de todos los dispositivos Android comprometidos en Rusia, y el daño económico estimado solo en noviembre de 2025 supera los 150 millones de rublos. Con el descenso de la actividad de NFCGate, Mamont avanza para consolidarse como el troyano móvil dominante en el ecosistema financiero ruso.
Mamont como troyano bancario Android dominante en Rusia
Según F6, alrededor del 1,5% del parque de dispositivos Android en Rusia presenta indicios de infección por malware. Si se toma como referencia una base de 100 millones de smartphones, esto implica unos 1,5 millones de dispositivos comprometidos. De ellos, casi 700 000 están infectados específicamente con Mamont, lo que sitúa a este troyano entre las amenazas móviles más extendidas en el país.
En el tercer trimestre de 2025, el número de terminales comprometidos creció a un ritmo medio de 60 nuevos casos diarios. La cantidad media sustraída por víctima ronda los 30 000 rublos, de forma que el volumen de fraude asociado a Mamont en un único mes puede superar fácilmente los 150 millones de rublos. Estadísticas del Ministerio del Interior ruso confirman esta tendencia: en la segunda mitad de 2025, Mamont concentró casi el 39% de las infecciones móviles detectadas, mientras que la variante «invertida» de NFCGate representó el 52,4%. Los analistas anticipan que en 2026 Mamont se consolidará como la principal amenaza para usuarios de Android en la región.
Los primeros incidentes documentados datan de septiembre de 2023, cuando el troyano se distribuía disfrazado de aplicación de mensajería de una empresa de reparto, a través de una tienda Google Play falsa. En apenas diez días de campaña, los atacantes lograron robar cerca de 3 millones de rublos, impulsando la evolución y sofisticación posterior del código malicioso.
Cadena de infección: phishing en mensajería y abuso de la ingeniería social
Difusión de APK maliciosos y «contenido sensible» como gancho
Las versiones actuales del troyano Android Mamont ya no dependen de tiendas de aplicaciones. Su vector principal es la distribución directa de archivos APK mediante campañas de phishing en mensajeros populares. Los delincuentes apuntan a chats abiertos y semiprivados, como grupos vecinales o comunidades locales, donde los enlaces se perciben como más confiables.
Los archivos maliciosos se presentan como fotos o vídeos impactantes, listados de fallecidos o desaparecidos, herramientas de seguridad e incluso «aplicaciones antivirus». Son habituales nombres de archivo como «Listas 200-300», «Listas de desaparecidos y prisioneros», «Foto_accidente_terrible» o «MiVideo», acompañados de mensajes emocionalmente cargados: «Es horrible… se mató en el acto», diseñados para provocar la apertura impulsiva del adjunto.
Permisos de SMS, persistencia y control silencioso del dispositivo
Una vez instalada, la aplicación solicita convertirse en el cliente predeterminado para gestionar SMS. Este permiso crítico le otorga capacidad para leer, interceptar y enviar mensajes, incluyendo códigos de un solo uso (OTP), notificaciones bancarias y comunicaciones de servicios financieros. Tras obtener los privilegios, el icono visible suele desaparecer, pero el troyano mantiene un aviso permanente en la barra de notificaciones con supuestas «actualizaciones», que el usuario no puede eliminar de forma convencional.
Ese servicio en segundo plano garantiza la persistencia de Mamont en el sistema y actúa como punto de anclaje para la recepción de órdenes y la ejecución de acciones maliciosas sin que el propietario del teléfono lo perciba.
Capacidades de Mamont y control remoto mediante bot de Telegram
Mamont integra un conjunto amplio de funciones orientadas al fraude financiero y la expansión automática. El malware intercepta y exfiltra SMS, envía mensajes en nombre de la víctima, ejecuta códigos USSD, y distribuye enlaces de phishing a todos los contactos de la agenda, multiplicando así el alcance de la campaña.
Infraestructura de mando y control basada en Telegram
El centro de mando de Mamont se articula en torno a un bot de Telegram. Nada más activarse, el troyano envía un mensaje de inicialización con el ID del dispositivo, la versión de Android, el listado de aplicaciones instaladas y los números de las tarjetas SIM. A partir de ese momento, el servicio en segundo plano consulta periódicamente al bot, a través del Telegram Bot API, en busca de nuevas instrucciones.
El repertorio de comandos permite al operador controlar prácticamente todo el flujo de ataque: visualizar dispositivos activos, iniciar o detener la interceptación de SMS, descargar archivos con el historial de mensajes, lanzar peticiones USSD, realizar envíos masivos de SMS, alterar el estado del terminal comprometido o finalizar la sesión del malware.
Monetización, análisis automatizado y ecosistema delictivo
Cuando se exfiltran los SMS, un módulo automatizado realiza un análisis contextual rápido para estimar saldos bancarios, presencia de créditos y patrones de códigos de verificación. Esta información se complementa con servicios externos de comprobación de filtraciones de datos, lo que permite a los delincuentes construir un perfil financiero detallado de la víctima.
Con ese conjunto de datos, los operadores suelen lograr accesos ilegítimos a banca en línea y microfinancieras, contratación de préstamos y transferencias no autorizadas. Las bandas que trabajan con Mamont se organizan en roles especializados y priorizan, con frecuencia, a las microfinancieras, percibidas como más vulnerables en sus procesos de verificación. Las ganancias se distribuyen mediante criptomonedas.
La propia infraestructura de Mamont se comercializa en el mercado negro: el panel de control basado en Telegram se alquila por unos 300 dólares mensuales o se ofrece bajo un modelo de «licencia» por 250 dólares más un 15% del beneficio, con soporte incluido. Los APK maliciosos se generan desde un «builder» controlado también vía bot, lo que reduce drásticamente la barrera técnica de entrada. Informes recientes señalan, además, un uso creciente de herramientas de inteligencia artificial para personalizar las aplicaciones y acelerar la creación de campañas dirigidas.
Impacto en el usuario de Android y buenas prácticas de protección
Un dispositivo comprometido como nodo de ataques en cadena
La característica más preocupante de Mamont es que convierte el smartphone afectado en un instrumento activo de nuevas campañas maliciosas. El dispositivo se utiliza para reenviar enlaces de phishing, iniciar transacciones, validar operaciones mediante SMS y participar en estafas a terceros, a menudo sin que el propietario sea consciente de que su teléfono forma parte de una infraestructura delictiva.
Recomendaciones para protegerse del troyano Android Mamont
Para reducir la probabilidad de infección por Mamont y otros troyanos bancarios para Android se recomienda:
– evitar la instalación de APK recibidos por mensajería, chats o redes sociales, especialmente si van acompañados de mensajes alarmistas o morbosos;
– desactivar, cuando sea posible, la instalación desde orígenes desconocidos y limitarla a casos estrictamente necesarios;
– no conceder permisos de acceso a SMS ni el rol de «aplicación de mensajes predeterminada» a software cuya procedencia no sea totalmente confiable;
– desconfiar de supuestas listas de fallecidos, prisioneros o material gráfico impactante remitido por contactos poco conocidos;
– utilizar soluciones actualizadas de seguridad móvil y mantener al día el sistema operativo y las aplicaciones;
– configurar en el banco límites de importe y mecanismos adicionales de confirmación, como notificaciones push o aplicaciones autenticadoras en lugar de SMS.
La rápida expansión del troyano Android Mamont ilustra cómo el ecosistema de malware móvil bancario evoluciona hacia modelos más automatizados, modulares y accesibles para grupos delictivos poco especializados. Ante este escenario, resulta esencial que usuarios, entidades financieras y desarrolladores refuercen sus prácticas de higiene digital, inviertan en formación en ciberseguridad y adopten medidas proactivas de defensa para reducir el impacto de la próxima generación de troyanos móviles.
