Investigadores del centro de amenazas cibernéticas Solar 4RAYS han descubierto que la infraestructura maliciosa del troyano bancario Mamont para Android permanece operativa, a pesar de las recientes detenciones de sus presuntos operadores. El análisis detallado del malware revela una amenaza persistente que representa un riesgo significativo tanto para usuarios individuales como para organizaciones empresariales.

Sofisticada Táctica de Distribución

Los ciberdelincuentes están empleando Telegram como vector principal de distribución, utilizando una técnica de ingeniería social particularmente efectiva. El malware se disfraza como un archivo de video acompañado del mensaje engañoso «¿Eres tú en este video?». Al ejecutarse, mientras la víctima observa una pantalla de carga o autenticación aparentemente inofensiva, el troyano inicia sigilosamente sus operaciones maliciosas en segundo plano.

Capacidades Avanzadas de Ataque

El análisis técnico ha revelado un conjunto completo de funcionalidades maliciosas que incluyen:
– Recopilación de información sobre aplicaciones instaladas y datos del dispositivo
– Monitorización del registro de llamadas
– Ejecución de llamadas no autorizadas
– Procesamiento de comandos USSD
– Interceptación y envío de mensajes SMS
– Control sobre aplicaciones de mensajería
– Acceso no autorizado a operaciones bancarias

Impacto en la Seguridad Empresarial

Mamont representa una amenaza crítica para las organizaciones que implementan autenticación de dos factores basada en SMS. La capacidad del malware para interceptar mensajes de texto permite a los atacantes comprometer los códigos de verificación, potencialmente facilitando el acceso no autorizado a sistemas corporativos críticos.

Estado Actual de la Infraestructura Maliciosa

La investigación ha identificado cuatro servidores de comando y control (C2) activamente operativos. Un hallazgo particularmente preocupante es la presencia de un constructor de APK maliciosos expuesto en uno de estos servidores, que permite la generación automatizada de nuevas variantes del troyano con parámetros de ataque personalizables.

La persistencia de esta infraestructura maliciosa, incluso después de las detenciones realizadas, sugiere la continuidad de esta campaña de ciberataques. Se recomienda implementar medidas preventivas robustas, incluyendo la instalación exclusiva de aplicaciones desde fuentes oficiales, la verificación minuciosa de enlaces recibidos y la implementación de soluciones de seguridad móvil actualizadas. La vigilancia continua y la educación en ciberseguridad siguen siendo fundamentales para protegerse contra esta amenaza evolutiva.