Специалисты центра исследования киберугроз Solar 4RAYS выявили продолжающуюся активность вредоносной инфраструктуры Android-трояна Mamont, несмотря на недавние аресты подозреваемых в его распространении. Детальный анализ образцов малвари показал, что данная угроза по-прежнему представляет серьезный риск как для частных пользователей, так и для бизнес-структур.
Механизм распространения и принцип действия
Злоумышленники распространяют вредонос через Telegram, маскируя его под видеофайл с провокационным сообщением «Это ты на видео?». При запуске вместо обещанного контента жертва видит загрузочное окно или страницу авторизации, в то время как малварь уже начинает работу в фоновом режиме.
Функциональные возможности трояна
Mamont обладает широким спектром вредоносных возможностей, включая:
— Сбор данных об установленных приложениях и устройстве
— Мониторинг истории звонков
— Совершение несанкционированных вызовов
— Выполнение USSD-запросов
— Перехват и отправка SMS-сообщений
— Получение контроля над мессенджерами
— Несанкционированный доступ к банковским операциям
Угроза для корпоративной безопасности
Особую опасность Mamont представляет для организаций, использующих SMS-based двухфакторную аутентификацию. При заражении устройств сотрудников злоумышленники получают возможность перехватывать коды авторизации и проникать во внутреннюю инфраструктуру компании.
Текущее состояние инфраструктуры
Исследователи идентифицировали четыре активных управляющих сервера, связанных с Mamont. На одном из них обнаружен открытый билдер вредоносных APK, позволяющий автоматически генерировать новые версии малвари с настраиваемыми параметрами атаки.
Несмотря на недавние аресты предполагаемых операторов, наличие действующей инфраструктуры указывает на возможное продолжение вредоносной кампании. Рекомендуется проявлять повышенную бдительность при получении подозрительных сообщений и не устанавливать приложения из непроверенных источников.
