Android-троян Mamont за последние месяцы стал одним из ключевых инструментов кибермошенников, ориентированных на российских пользователей. По данным аналитиков компании F6, на этот вредонос приходится 47% всех скомпрометированных Android-устройств в РФ, а совокупный ущерб только за ноябрь 2025 года превысил 150 млн рублей. На фоне ослабления активности NFCGate Mamont постепенно выходит на ведущие позиции среди мобильных банковских троянов.
Mamont как главный банковский Android-троян в России
Статистика F6 показывает, что около 1,5% Android-устройств в России несут следы вредоносного ПО. При оценочной базе в 100 млн смартфонов это порядка 1,5 млн скомпрометированных гаджетов. Из них почти 700 000 заражены именно Mamont, что делает его одной из наиболее массовых киберугроз в мобильном сегменте.
В третьем квартале 2025 года количество инфицированных устройств увеличивалось в среднем примерно на 60 в день. Средняя сумма хищения с одного успешно атакованного пользователя составляет около 30 000 рублей. По оценкам специалистов, только за ноябрь ущерб от операций, связанных с Mamont, мог превысить отметку 150 млн рублей.
Статистику компании F6 подтверждают и данные МВД России: во второй половине 2025 года Mamont приходился почти на 39% выявленных случаев заражения мобильных устройств, в то время как «обратная» версия NFCGate — на 52,4%. Однако аналитики прогнозируют, что в 2026 году Mamont окончательно закрепится в статусе основной угрозы для Android-пользователей.
Первые инциденты, связанные с Mamont, были зафиксированы еще в сентябре 2023 года. Тогда злоумышленники распространяли троян под видом приложения службы доставки через поддельный Google Play. За десять дней кампании им удалось похитить почти 3 млн рублей, после чего вредонос активно развивался и усложнялся.
Схема заражения: фишинг в мессенджерах и вовлечение контактов жертвы
Маскировка под «чувствительный контент» и социальная инженерия
Актуальные версии Android-трояна Mamont больше не полагаются на размещение в магазинах приложений. Основной вектор атаки — прямая фишинговая рассылка APK-файлов через популярные мессенджеры. Мишенью становятся открытые и полузакрытые чаты, в том числе домовые и локальные группы.
Вредоносные файлы маскируются под фото- и видеоматериалы, списки погибших, раненых и пленных, антивирусные утилиты и другие эмоционально заряженные «приманки». Типичные названия вложений: «Списки 200-300», «Списки пропавших, пленных», «Фото_СтРашной_аварии», «ФОТО», «МоеВидео». Для повышения вероятности открытия файла используются провокационные сообщения вроде: «Ужас какой… насмерть разбился».
Получение прав на SMS и скрытая работа в фоне
После установки приложение запрашивает право стать основным клиентом для обработки SMS. Это критически важное разрешение: оно позволяет трояну читать, перехватывать и отправлять сообщения, а также работать с одноразовыми паролями и уведомлениями от банков, микрофинансовых организаций и онлайн‑сервисов.
Получив необходимые привилегии, троян визуально сворачивается, но в панели уведомлений закрепляется постоянное сообщение о фиктивных «обновлениях». Удалить его стандартными средствами пользователь не может. Именно через этот фоновый сервис Mamont гарантированно сохраняет свое присутствие в системе и продолжает выполнять команды злоумышленников.
Функциональность Mamont и управление через Telegram-бота
Троян обладает развернутым набором функций для кражи денег и дальнейшего распространения. Он перехватывает и выгружает SMS, отправляет сообщения от имени жертвы, выполняет USSD-запросы, рассылает фишинговые ссылки всем контактам из адресной книги, получая таким образом новый круг потенциальных жертв.
Для управления инфраструктурой используется Telegram-бот. Сразу после запуска вредонос отправляет на сервер инициализационное сообщение с ID устройства, версией Android, списком установленных приложений и номером (или номерами) SIM-карт. Далее фоновый сервис поддерживает связь с ботом через Telegram Bot API, периодически опрашивая его на наличие новых команд.
Набор команд позволяет операторам фактически полностью контролировать зараженный смартфон. Среди них — просмотр активных устройств, запуск и остановка перехвата сообщений, выгрузка архива SMS, выполнение USSD-запросов, массовая рассылка по всем контактам, отправка отдельных SMS, проверка «статуса» девайса и принудительное завершение сессии вредоносного ПО.
Аналитика, монетизация и преступная экосистема вокруг Mamont
После извлечения архивов SMS встроенный модуль бота проводит быстрый контекстный анализ: оценивает примерный баланс на счетах, наличие кредитов, типовые одноразовые пароли и уведомления от финансовых сервисов. Дополнительно злоумышленники используют сервисы по проверке открытых данных и утечек, чтобы собрать максимально полную картину о жертве.
Как правило, этого набора информации оказывается достаточно для незаконного входа в личные кабинеты банков и МФО, оформления кредитов и займов, а также переводов средств без ведома владельца устройства. Внутри criminal-экипажей, работающих с Mamont, существует разделение ролей и внутренние правила: приоритет часто отдается именно микрофинансовым организациям, как более уязвимым с точки зрения скоринга и проверки клиента. Вознаграждение участникам схем выплачивается на криптовалютные кошельки.
Панель управления Mamont — тот же Telegram-бот — активно продается и сдается в аренду: около 300 долларов США в месяц за аренду или 250 долларов + 15% прибыли за «лицензию» с поддержкой. Вредоносные APK-файлы генерируются автоматически при помощи билдера, которым также управляют через отдельного бота. Низкая стоимость, удобный интерфейс и отсутствие требований к технической квалификации значительно снижают порог входа и привлекают к Mamont множество разнородных преступных групп.
Эксперты F6 отмечают, что в последних версиях вредоноса злоумышленники все активнее используют инструменты искусственного интеллекта для сборки и адаптации приложений под конкретную жертву. Формирование целевого APK прямо из интерфейса мошеннических баз занимает считанные минуты. На этом фоне ранее доминировавший NFCGate, по оценке специалистов, в 2026 году станет лишь одной из опций в арсенале Android-троянов.
Чем Mamont опасен для обычного пользователя и как защититься
Ключевая особенность Mamont — превращение смартфона жертвы в инструмент дальнейших атак. Скомпрометированное устройство используется как узел для рассылки вредоносных ссылок, генерации телефонных звонков, проведения транзакций и фишинговых операций. При этом владелец зачастую не подозревает, что становится невольным участником мошеннических схем.
Практические меры защиты от Android-троянов
Для снижения риска заражения Mamont и схожими банковскими троянами рекомендуется:
– не устанавливать APK-файлы из ссылок в мессенджерах, чатах и социальных сетях, особенно с провокационными подписями;
– по возможности отключить установку приложений из неизвестных источников;
– не предоставлять прав на доступ к SMS и роль «основного приложения для сообщений» программам, в необходимости которых вы не уверены;
– внимательно относиться к любым «спискам погибших», шокирующим фото и видео, поступающим от неизвестных или малознакомых контактов;
– использовать актуальные решения мобильной защиты и регулярно обновлять ОС и приложения;
– настроить в банке лимиты на операции и дополнительные механизмы подтверждения (например, push-уведомления и отдельные приложения-аутентификаторы вместо SMS-кодов).
Распространение Mamont демонстрирует, насколько быстро эволюционирует рынок мобильных киберугроз: автоматизация, Telegram-боты и ИИ-инструменты делают сложные атаки доступными для массовых преступных групп. В ближайшие годы пользователям Android и финансовым организациям придется уделять еще больше внимания цифровой гигиене, обучению и проактивным мерам защиты, чтобы не оказаться в числе жертв следующей волны мобильных троянов.
