Мобільні загрози на Android продовжують масштабуватись: за січень–серпень 2025 року найактивнішим у РФ став банківський троян Mamont. За оцінкою Лабораторії Касперського, кількість постраждалих користувачів зросла у 36 разів порівняно з аналогічним періодом 2024 року і вже наближається до одного мільйона. Паралельно суттєве зростання показав і багатофункціональний бекдор Triada — число атакованих користувачів у Росії збільшилося в 5 разів, до сотень тисяч.
Mamont: механіка атак і масштаби компрометації
Mamont монетизує атаки через SMS-банкінг. Після інсталяції шкідник запитує доступ до SMS та push-сповіщень, перехоплює одноразові коди підтвердження і ініціює фінансові операції без участі власника пристрою. Окремі збірки також використовують перехоплені OTP для захоплення облікових записів у популярних месенджерах, розширюючи збитки за межі банківських операцій.
Основні канали поширення — соціальна інженерія та sideloading. Зловмисники маскують APK-файли під «фото» чи «відео», надсилають їх у чатах, а також імітують «додаток для віддаленої роботи», «трекер доставки» або «навчальний контент». Вектор орієнтований на довіру, поспіх і звичку встановлювати ПЗ із посилань без перевірки джерела.
Чому Mamont лишається ефективним
Троян експлуатує чутливі системні дозволи — доступ до SMS, сповіщень і, нерідко, служб спеціальних можливостей. Це забезпечує стабільний перехоплення кодів і автоматизацію транзакцій. Додатково ситуацію погіршує залежність сервісів від SMS як другого фактора та толерантність користувачів до встановлення APK із чатів без перевірки підпису пакета і розробника.
Triada: бекдор із глибокою персистентністю та широким контролем
Triada — модульний бекдор із розширеним віддаленим керуванням. Актуальні версії фіксують крадіжку акаунтів у месенджерах і соцмережах, підміну номерів під час дзвінків, повний контроль SMS, моніторинг активності у браузері та приховане надсилання/видалення повідомлень від імені жертви. Такий набір можливостей фактично надає зловмисникам контроль над комунікаціями користувача.
Найбільш тривожний сценарій — поширення окремих варіантів через скомпрометовані прошивки на нових пристроях, переважно на підробках під популярні моделі. У таких випадках шкідник може зберігатися навіть після скидання до заводських налаштувань, що вказує на проблеми безпеки ланцюга постачання та потребу в офіційному перепрошиванні.
Як захистити Android-пристрої від Mamont і Triada
Встановлюйте ПЗ лише з довірених джерел. Уникайте APK із чатів та невідомих сайтів. Будь-яке «photo.apk» чи «video.apk» — однозначний індикатор ризику.
Керуйте дозволами. Регулярно переглядайте доступ додатків до SMS, сповіщень, служб спеціальних можливостей та прав «Адміністратора пристрою». Відкликайте зайве і перевіряйте, хто має право читати сповіщення.
Активуйте вбудовані механізми захисту. Увімкніть перевірку додатків (наприклад, Google Play Protect) та використовуйте авторитетні мобільні засоби захисту, здатні виявляти банківські трояни та бекдори.
Зменшуйте залежність від SMS-2FA. За можливості переходьте на підтвердження в банківському додатку або апаратні/аутентифікаторні коди. Увімкніть PIN для SIM-карти та відстежуйте операції, прив’язані до номера.
Контролюйте цілісність пристроїв. Перевіряйте модель і IMEI перед покупкою, уникайте сумнівних продавців. За підозри на «прошивковий» зловред — виконуйте офіційне перепрошивання або звертайтеся в авторизований сервіс.
Дії у разі інциденту. Негайно вимкніть передачу даних, повідомте банк, змініть паролі з «чистого» пристрою, виконайте скидання з подальшою інсталяцією ПЗ з довірених джерел і відновіть дані з перевіреної резервної копії.
Стрімке зростання активності Mamont і Triada демонструє, як швидко еволюціонує мобільний кіберзлочин. Організаціям варто оновити політики MDM/EMM, обмежити sideloading і навчити працівників розпізнавати шкідливі APK. Користувачам — критично ставитися до будь-яких інсталяційних файлів у месенджерах, посилювати багатофакторну автентифікацію і регулярно проводити аудит безпеки своїх пристроїв. Чим раніше впроваджені ці практики, тим нижча ймовірність фінансових втрат і компрометації акаунтів.