Специалисты по кибербезопасности выявили новую масштабную вредоносную кампанию, в ходе которой банковский троян Mamont атакует российских пользователей Android-устройств. За октябрь-ноябрь 2024 года зафиксировано более 31 000 попыток заражения, направленных как на частных лиц, так и на представителей бизнеса.
Механизм распространения трояна
Злоумышленники используют многоступенчатую схему социальной инженерии, создавая поддельные интернет-магазины с привлекательными оптовыми ценами. После оформления заказа покупателю предлагается установить специальное приложение для отслеживания доставки, которое на самом деле является вредоносным ПО Mamont.
Технические особенности вредоносной программы
При установке троян запрашивает критически важные разрешения для доступа к SMS, push-уведомлениям и телефонным звонкам. После активации малварь запускает два вредоносных сервиса: один перехватывает push-уведомления, второй устанавливает постоянное соединение с командным сервером злоумышленников через WebSocket.
Основной функционал трояна
Mamont обладает широким набором вредоносных возможностей, включая:
— Перехват и отправку SMS-сообщений
— Сбор конфиденциальных данных через поддельные формы
— Загрузку фотографий с устройства жертвы
— Маскировку или изменение иконки приложения
— Показ произвольных сообщений для социальной инженерии
Методы социальной инженерии
Злоумышленники активно используют психологические приемы для повышения доверия жертв: создают правдоподобные сайты магазинов, организуют активность в закрытых Telegram-чатах с помощью ботов и предлагают оплату при получении товара, чтобы усыпить бдительность потенциальных жертв.
Для защиты от подобных атак специалисты рекомендуют соблюдать базовые правила цифровой гигиены: не переходить по подозрительным ссылкам, устанавливать приложения только из официальных магазинов и критически относиться к слишком выгодным предложениям в интернете. Особую осторожность следует проявлять при запросах на предоставление расширенных разрешений для мобильных приложений.
