По данным «Лаборатории Касперского», собранным за январь–август 2025 года, самую широкую активность на российских устройствах Android демонстрирует мобильный банковский троян Mamont. Число пользователей, пострадавших от этого вредоносного ПО, увеличилось в 36 раз по сравнению с аналогичным периодом 2024 года и, по оценкам исследователей, уже приближается к одному миллиону. На фоне Mamont существенную динамику показал и многофункциональный бэкдор Triada — число атакованных им пользователей в России выросло в 5 раз и исчисляется сотнями тысяч.
Банковский троян Mamont: механика атак и масштабы
Mamont ориентирован на монетизацию через SMS-банкинг. После установки троянец запрашивает доступ к SMS-сообщениям и push-уведомлениям, перехватывает коды подтверждения и инициирует финансовые транзакции без ведома владельца устройства. Отдельные модификации также используют перехват одноразовых кодов для захвата аккаунтов в популярных мессенджерах, расширяя ущерб за пределы банковских операций.
Ключевые векторы распространения — социальная инженерия и sideloading (установка приложений из сторонних источников). Злоумышленники рассылают файлы в мессенджерах под видом «фото» или «видео»; в имени вложений фигурирует расширение .apk, что указывает на установочный пакет Android. Фиксируются также случаи маскировки под приложение для удаленной работы, трекер доставки или учебный контент — сценарии, рассчитанные на доверие и срочность.
Почему Mamont остается эффективным
Троян эксплуатирует набор системных разрешений (доступ к SMS, уведомлениям и, нередко, к службам специальных возможностей), что позволяет ему устойчиво перехватывать коды и автоматизировать операции. На его пользу играет и сохраняющаяся зависимость ряда сервисов от SMS как второго фактора, а также привычка пользователей устанавливать приложения из ссылок в чатах без проверки источника и подписи пакета.
Triada: бэкдор с глубокой персистентностью и расширенной функциональностью
Triada — модульный бэкдор с широкой функциональностью удаленного управления. Исследователи отмечают «волну» новой версии, способной красть аккаунты в мессенджерах и соцсетях, подменять номера при звонках, контролировать SMS, отслеживать активность в браузерах, а также скрытно отправлять и удалять сообщения от имени жертвы. Такой набор возможностей дает атакующим почти полный контроль над устройством и коммуникациями владельца.
Особо тревожный вектор — распространение отдельных разновидностей Triada через компрометированные прошивки на новых устройствах, преимущественно подделках под популярные модели. В этом случае вредонос может сохраняться даже после сброса к заводским настройкам, что указывает на проблему безопасности цепочки поставок и требует перепрошивки официальным образом.
Как защитить Android-устройства от Mamont и Triada
Устанавливайте ПО только из доверенных источников. Избегайте APK из чатов и неизвестных сайтов. Любое «фото.apk» или «video.apk» — красный флаг.
Контролируйте разрешения. Периодически пересматривайте доступ к SMS, уведомлениям, службам специальных возможностей и правам «Администратор устройства». Отзывайте лишнее.
Включите защитные механизмы. Активируйте проверку приложений (например, Play Protect) и используйте признанное мобильное средство защиты для обнаружения банковских троянов и бэкдоров.
Минимизируйте зависимость от SMS-2FA. По возможности переходите на подтверждение в приложении банка или аппаратные/аутентификаторные коды. Установите PIN на SIM-карту и контролируйте операции по номеру.
Следите за целостностью устройств. При покупке проверяйте модель и IMEI, избегайте сомнительных продавцов. При подозрении на «прошивочный» зловред — прошивайте официальным образом или обращайтесь в авторизованный сервис.
Действия при инциденте. Немедленно отключите устройство от сети, свяжитесь с банком, смените пароли с «чистого» устройства, выполните сброс с последующим переустановлением из доверенных источников и восстановите данные из проверенной резервной копии.
Резкий рост активности Mamont и Triada в 2025 году демонстрирует, что мобильные угрозы быстро эволюционируют и масштабируются. Организациям стоит обновить мобильные политики (MDM/EMM), ограничить sideloading и обучить сотрудников распознавать вредоносные APK. Пользователям — критично относиться к любым установочным файлам из мессенджеров, укреплять аутентификацию и регулярно проводить безопасность-аудит своих устройств. Чем раньше вы внедрите эти практики, тем ниже вероятность финансовых потерь и компрометации аккаунтов.