За останні місяці Android-троян Mamont став одним із ключових інструментів фінансового шахрайства, орієнтованого на користувачів у РФ. За даними аналітиків компанії F6, саме на цей шкідливий код припадає 47% усіх скомпрометованих Android-пристроїв, а сукупний збиток лише за листопад 2025 року перевищив 150 млн рублів. На тлі зниження активності іншого відомого трояна NFCGate Mamont поступово виходить на позицію провідної мобільної банківської загрози.
Android-троян Mamont: масштаби зараження та фінансові втрати
Статистика F6 свідчить, що близько 1,5% Android-пристроїв у Росії мають сліди зараження шкідливим ПЗ. За оціночної бази у 100 млн смартфонів це приблизно 1,5 млн скомпрометованих гаджетів. Приблизно 700 000 із них інфіковані саме Mamont, що робить його одним із наймасовіших мобільних кіберзагроз.
У третьому кварталі 2025 року кількість заражених пристроїв зростала в середньому на 60 нових випадків щодня. Середній розмір викрадених коштів з одного успішно атакованого користувача оцінюється на рівні 30 000 рублів, що пояснює, як збитки лише за один місяць змогли перевищити 150 млн рублів.
Дані F6 корелюють із офіційною статистикою МВС РФ: у другій половині 2025 року на Mamont припадало майже 39% виявлених заражень мобільних пристроїв, тоді як на так звану «зворотну» версію NFCGate — 52,4%. Аналітики прогнозують, що у 2026 році Mamont закріпиться як основний банківський Android-троян на ринку російськомовного кіберзлочину.
Перші атаки Mamont фіксувалися ще у вересні 2023 року, коли його поширювали під виглядом застосунку служби доставки через фальшивий Google Play. Лише за десять днів кампанії зловмисникам вдалося викрасти близько 3 млн рублів, після чого троян активно доопрацьовувався й ускладнювався.
Ланцюг атаки Mamont: від фішингового APK до контролю над SMS
Фішингові розсилки в месенджерах та емоційні приманки
Сучасні версії Android-трояна Mamont більше не покладаються на магазини застосунків. Основний вектор зараження — розсилка шкідливих APK-файлів напряму в популярні месенджери. Мішенню стають відкриті та напівзакриті чати: районні й будинкові групи, локальні спільноти, тематичні канали.
Шкідливі файли маскують під фото- та відеоконтент, «списки загиблих, поранених чи полонених», антивірусні утиліти та інші емоційно чутливі матеріали. Типові назви вкладень: «Списки 200-300», «Списки пропавших, пленных», «Фото_страшной_аварии», «ФОТО», «МоеВидео». У тексті повідомлень часто використовуються провокаційні фрази на кшталт: «Жах… насмерть розбився», покликані спровокувати користувача відкрити файл і дозволити встановлення.
Захоплення прав на SMS і закріплення в системі
Після інсталяції Mamont запитує право стати основним застосунком для обробки SMS. Це критичний дозвіл, який дає змогу трояну читати, перехоплювати та відправляти повідомлення, а також працювати з одноразовими паролями та сповіщеннями банків, мікрофінансових організацій та онлайн-сервісів.
Отримавши необхідні привілеї, застосунок зникає з поля зору користувача, але в панелі сповіщень з’являється постійне «повідомлення про оновлення», яке неможливо вимкнути стандартними засобами. Саме через цей фоновий сервіс Mamont гарантовано зберігає присутність у системі і продовжує виконувати команди операторів атаки.
Функціонал банківського трояна Mamont і Telegram-бот як центр керування
Mamont має широкий набір функцій, орієнтованих на крадіжку грошей і подальше розповсюдження. Він перехоплює та вивантажує SMS, розсилає повідомлення від імені жертви, виконує USSD-запити, надсилає фішингові посилання контактам з адресної книги, формуючи нові ланцюги заражень.
У ролі центру керування виступає Telegram-бот. Одразу після запуску троян надсилає на сервер службове повідомлення з ID пристрою, версією Android, переліком установлених застосунків та номерами SIM-карт. Далі фоновий сервіс регулярно опитує бот через Telegram Bot API, отримуючи нові інструкції.
Набір команд дозволяє операторам практично повністю контролювати заражений смартфон: переглядати список активних пристроїв, запускати та зупиняти перехоплення SMS, вивантажувати архів листування, виконувати USSD-команди, організовувати масові розсилки та завершувати сесію шкідливого ПЗ.
SMS-аналітика, монетизація та модель Mamont-as-a-Service
Після отримання архівів SMS вбудований модуль бота проводить експрес-аналіз змісту повідомлень: оцінює орієнтовний баланс рахунків, наявність кредитів, типові одноразові паролі та сповіщення від фінансових сервісів. Додатково злочинці використовують сервіси перевірки витоків і відкритих даних, щоб зібрати розширений профіль жертви.
Такого набору інформації зазвичай достатньо, щоб неправомірно увійти до особистих кабінетів банків і МФО, оформити кредити або здійснити перекази коштів без відома власника пристрою. Усередині кримінальних груп, що працюють з Mamont, існує розподіл ролей, а пріоритет часто віддається саме мікрофінансовим організаціям через менш жорсткі процедури скорингу.
Панель керування Mamont — той самий Telegram-бот — активно продається й здається в оренду. За даними дослідників, орієнтовна вартість становить близько 300 доларів США на місяць за оренду або 250 доларів разово плюс 15% від прибутку за «ліцензію» з підтримкою. Шкідливі APK-файли автоматично збираються за допомогою спеціального билдера, який також керується через окремого бота.
У нових версіях Mamont зловмисники все активніше застосовують інструменти штучного інтелекту для швидкої збірки та кастомізації застосунків під конкретні цільові групи. Формування цільового APK безпосередньо з інтерфейсу злочинних панелей займає лічені хвилини, що ще більше знижує поріг входу для нових учасників.
Чим Android-троян Mamont небезпечний для користувачів та як захиститися
Смартфон як інфраструктура для подальших атак
Ключова особливість Mamont — перетворення зараженого смартфона на вузол у мережі шахрайських операцій. Пристрій використовується для розсилки шкідливих посилань, ініціювання транзакцій, телефонних дзвінків і фішингових кампаній, при цьому власник часто не усвідомлює, що його номер і контакти задіяні у злочинних схемах.
Практичні рекомендації із захисту від банківських Android-троянів
Щоб знизити ризики зараження Mamont та подібними банківськими троянами, доцільно:
– не встановлювати APK-файли з посилань у месенджерах, чатах і соцмережах, особливо якщо супровідний текст має провокаційний або емоційний характер;
– за можливості відключити встановлення застосунків з невідомих джерел;
– не надавати доступ до SMS і статусу «основного застосунку для повідомлень» програмам, у безпечності яких немає повної впевненості;
– критично ставитися до будь-яких «списків загиблих», шокуючих фото та відео від незнайомих або малознайомих контактів;
– користуватися актуальними рішеннями мобільного захисту та регулярно оновлювати операційну систему й застосунки;
– налаштувати в банку ліміти операцій і додаткові механізми підтвердження (наприклад, push-повідомлення та окремі застосунки-аутентифікатори замість SMS-кодів).
Поширення Android-трояна Mamont показує, як швидко розвивається ринок мобільних кіберзагроз: автоматизація, Telegram-боти та ІІ-інструменти роблять складні банківські атаки доступними для масових злочинних груп. Своєчасні оновлення, уважність до підозрілих повідомлень і базова цифрова гігієна сьогодні є мінімальною умовою безпеки. Користувачам Android і фінансовим організаціям варто вже зараз посилювати захист і навчання, щоб не опинитися серед жертв наступної хвилі мобільних троянів.
