Investigadores han detectado una nueva ola de distribución del troyano bancario Mamont para Android, que aprovecha el interés de los usuarios por acelerar y desbloquear Telegram. La campaña, activa al menos desde mediados de febrero, ya habría afectado a miles de usuarios, y refleja una tendencia global: el uso de ingeniería social y aplicaciones falsas para sortear los controles de seguridad oficiales de Google Play.
Cómo el troyano bancario Mamont se propaga mediante falsos “aceleradores” de Telegram
El vector principal de esta campaña es la ingeniería social en Telegram. Los atacantes publican comentarios bajo posts de canales muy populares, afirmando que Telegram funciona lento o con restricciones y ofreciendo una solución “rápida”: descargar un archivo APK que supuestamente acelera el mensajero o ayuda a evitar limitaciones.
Cuando el usuario muestra interés, se le redirige a un canal secundario donde se aloja el enlace de descarga. El archivo no es un optimizador legítimo, sino el troyano bancario Mamont para Android. Al instalarlo manualmente (sideloading), el propio usuario evita las comprobaciones de Google Play y concede al malware los permisos solicitados, habitualmente sin leerlos con detalle.
El riesgo crítico radica en que la instalación de un APK desde un origen externo se realiza fuera de cualquier proceso de validación oficial. De esta forma, el usuario se convierte, sin saberlo, en el principal facilitador del ataque, otorgando permisos sensibles que el troyano explotará después para robar información financiera y de acceso.
Funciones de Mamont: robo de dinero, códigos de verificación y cuentas de mensajería
Mamont pertenece a la familia de los troyanos bancarios móviles, cuyo objetivo es vaciar cuentas bancarias y monetizar el acceso a servicios financieros. Una vez instalado, el malware solicita acceso a SMS y notificaciones push, dos fuentes de datos clave para la banca online y los sistemas de autenticación.
Con estos permisos, el troyano puede:
— Interceptar códigos de un solo uso (OTP) enviados por entidades bancarias o servicios de pago para confirmar transferencias y compras.
— Eludir la autenticación en dos pasos (2FA) basada en SMS o notificaciones push, permitiendo que el atacante inicie sesión en la banca online como si fuera el usuario legítimo.
— Secuestrar cuentas de mensajería (incluido el propio Telegram), capturando los códigos de inicio de sesión enviados por SMS.
Algunas variantes de Mamont reducen al mínimo su actividad visible, ocultando iconos, notificaciones o consumo apreciable de recursos para permanecer ocultas el mayor tiempo posible. En muchos casos, la víctima solo descubre el compromiso cuando detecta cargos bancarios no autorizados, bloqueos de cuentas o intentos de recuperación de acceso desde ubicaciones desconocidas.
Auge de Mamont en 2025 y adaptación a la actualidad digital
Según datos, en 2025 el número de usuarios atacados por Mamont se ha multiplicado aproximadamente por diez respecto al año anterior. En paralelo, los operadores del malware han desarrollado decenas de cadenas de infección: páginas de phishing que imitan bancos o servicios conocidos, falsos parches y actualizaciones, así como aplicaciones supuestamente diseñadas para “saltar bloqueos” de plataformas populares.
El señuelo del “acelerador” de Telegram encaja en un patrón más amplio que también se observa en campañas con otros troyanos bancarios para Android: los delincuentes ajustan su discurso a la coyuntura y a las preocupaciones del usuario (restricciones de servicios, lentitud, anonimato, ahorro de datos) para incrementar la tasa de instalación. Cualquier promesa de “más velocidad”, “más anonimato” o “desbloqueo total” mediante un APK externo es, hoy en día, un claro indicador de riesgo.
Cómo proteger Android frente a Mamont y otros troyanos bancarios
Evitar APK de orígenes desconocidos y limitar el “sideloading”
La medida más efectiva es no instalar APK enviados por canales o chats, aunque procedan de comunidades con muchos suscriptores. Siempre que sea posible, descargue las aplicaciones únicamente desde Google Play o repositorios corporativos verificados. Mantenga desactivada la opción de instalar apps de fuentes desconocidas y active esa función solo en casos excepcionales, comprendiendo bien las implicaciones.
Analizar cuidadosamente enlaces, ofertas y comentarios en Telegram
Los mensajes que prometen “optimizar”, “acelerar” o “volver anónimo” Telegram mediante una app externa deben tratarse como potencialmente maliciosos. Antes de pulsar en un enlace, revise quién lo envía, la fecha de creación del canal, su histórico de publicaciones y si existen señales de que pueda ser un clon o un canal falso. Ante la duda, ignore el mensaje y repórtelo a los administradores.
Usar soluciones de seguridad móvil y reforzar la higiene digital
Las soluciones modernas de ciberseguridad para Android son capaces de detectar muchas familias de troyanos bancarios, incluido Mamont, gracias a bases de firmas actualizadas y análisis de comportamiento. Es recomendable activar la protección en tiempo real, realizar análisis completos de forma periódica y atender a cualquier alerta de seguridad, por leve que parezca.
Los ataques de troyanos bancarios como Mamont demuestran que la primera línea de defensa sigue siendo el propio usuario. Desconfiar de los “milagros” tecnológicos, validar siempre el origen de las aplicaciones, minimizar la instalación de APK externos y complementar todo ello con una solución de seguridad móvil reduce de forma drástica la superficie de ataque. Invertir en ciberalfabetización básica y mantenerse informado sobre las campañas de malware activas es hoy una de las decisiones más eficaces para proteger tanto el dispositivo Android como el dinero y la identidad digital del usuario.
