Содержание
1. Введение: почему смартфон стал главной мишенью банковских мошенников
2. Масштаб угрозы: цифры и статистика 2025–2026
3. Как банковский троян попадает на смартфон: 7 векторов заражения
4. Как работают банковские трояны: механика кражи денег изнутри
5. Mamont: главная угроза для россиян в 2026 году
6. NFCGate и CraxsRAT: кража данных карты через NFC
7. SpyNote: шпионский троян с удалённым доступом к экрану
8. Triada: бэкдор, который уже установлен в вашем смартфоне с завода
9. Анатомия атаки: как выглядит типичная схема кражи денег от начала до конца
10. Как распознать заражение: 15 признаков, что на смартфоне троян
11. Как удалить банковский троян: пошаговая инструкция
12. Защита смартфона: полный чек-лист из 25 мер
13. Что делать, если деньги уже украли: алгоритм возврата
14. FAQ: 12 вопросов про банковские трояны на Android
15. Чек-лист: экспресс-аудит смартфона за 10 минут
16. Заключение и теги
1. Введение: почему смартфон стал главной мишенью банковских мошенников
Ещё десять лет назад банковские трояны атаковали преимущественно компьютеры. Сегодня эпицентр угрозы сместился: смартфон стал одновременно хранилищем банковских приложений, источником SMS с кодами подтверждения, кошельком для бесконтактных платежей и постоянно включённым устройством с активным интернетом. Для злоумышленника это идеальная цель.
Ситуацию усугубляет психологический фактор. Пользователи значительно менее осторожны со смартфонами, чем с компьютерами: устанавливают приложения из непроверенных источников, не читают запрашиваемые разрешения, доверяют ссылкам из Telegram и WhatsApp. В корпоративной среде сотрудник вряд ли запустит на рабочем ноутбуке «apk-файл от друга» — но на телефоне сделает это не задумываясь.
По предварительным данным «Лаборатории Касперского» за 2025 год, число обнаруженных на Android мобильных угроз выросло почти вдвое. Число атак на Android выросло на 67% по данным Zscaler, а общий объём попыток заражения превысил 30 миллионов в год. Только за IV квартал 2025 года компания «Доктор Веб» зафиксировала рост атак банковских троянов на 65,52% по сравнению с аналогичным периодом предыдущего года.
Ключевая особенность 2025–2026 годов — переход банковских троянов на сервисную модель. Теперь любой мошенник без технических знаний может за деньги заказать готовую кастомизированную версию Mamont под конкретный банк или схему обмана. Сборка вредоносного ПО под конкретного пользователя происходит прямо в интерфейсе мошеннических CRM-систем и занимает считанные минуты.
Эта статья — практический гид. Она не только объясняет, как работают банковские трояны, но и даёт конкретные инструкции: как обнаружить заражение, как удалить троян и как построить защиту, которую сложно обойти.
> *Статья носит образовательный характер. Все данные основаны на публично доступных отчётах «Лаборатории Касперского», F6, «Доктор Веб», Zscaler и других авторитетных ИБ-компаний.*
2. Масштаб угрозы: цифры и статистика 2025–2026
Прежде чем перейти к конкретным троянам, важно понять реальный масштаб угрозы. Цифры помогают оценить, насколько серьёзна проблема и почему её нельзя игнорировать.
По данным «Лаборатории Касперского», в 2025 году было предотвращено более 14 миллионов атак с использованием вредоносного, рекламного или нежелательного мобильного ПО. Было обнаружено более 815 тысяч вредоносных установочных пакетов, из которых 255 тысяч относились именно к мобильным банковским троянцам. Это каждый третий вредоносный пакет.
Россия занимает особое место в этой статистике. По данным F6, около 1,5% Android-устройств российских пользователей уже скомпрометированы вредоносными приложениями. При выборке в 100 миллионов смартфонов это примерно 1,5 миллиона заражённых устройств — прямо сейчас, в реальном времени.
Показатели роста конкретных угроз выглядят ещё более тревожно. Троян Mamont атаковал в 36 раз больше пользователей в России в 2025 году, чем годом ранее. SpyNote за 2024 год вырос в девять раз. Число атак с использованием NFCGate за один только февраль 2025 года увеличилось на 80% по сравнению с январём. По данным МВД России, на Mamont пришлось около 38,7% всех заражений мобильных устройств в банковском секторе во второй половине 2025 года.
Финансовый ущерб измеряется миллиардами. Только за первый квартал 2025 года общий ущерб от атак на базе NFCGate в России превысил 400 миллионов рублей. За январь–февраль 2025 года ущерб от связки CraxsRAT и NFCGate составил около 200 миллионов рублей. Средняя сумма списаний в результате успешных атак Mamont — около 30 тысяч рублей с одного пострадавшего.
Отдельная тревожная тенденция зафиксирована «Доктором Веб»: в IV квартале 2025 года в каталоге Google Play было выявлено более двух десятков вредоносных приложений семейства Android.Joker. Злоумышленники маскировали их под мессенджеры, утилиты оптимизации, графические редакторы и медиаплееры. Это означает: даже официальный магазин приложений больше не является гарантией безопасности.
3. Как банковский троян попадает на смартфон: 7 векторов заражения
Понимание каналов распространения — первый шаг к защите. Большинство пользователей думают, что никогда не установят «вирус», потому что «не ходят на подозрительные сайты». Реальность значительно сложнее.
Вектор 1: Мессенджеры — основной канал 2025–2026
По данным «Лаборатории Касперского», мессенджеры стали главным каналом распространения мобильного вредоносного ПО в 2025 году. Злоумышленники рассылают APK-файлы в личных чатах и группах. Схемы разнообразны: «посмотри, кто тебя искал», «твои фотографии выложили», «пришёл заказ, отследи доставку», «установи это приложение, я тебе объясню». Файл выглядит как обычное приложение, пользователь устанавливает его вручную.
Вектор 2: Поддельные государственные приложения
Аналитики F6 и «Лаборатории Касперского» зафиксировали массовое распространение поддельных приложений, имитирующих государственные сервисы. Перечень охватывает: «Госуслуги Верификация», «Защита карт ЦБ РФ», «Сертификат Безопасности», «GosSecure», поддельные приложения ФНС, Банка России, Минцифры. Пользователь доверяет «государственному» бренду и устанавливает приложение без сомнений.
Вектор 3: Поддельные обновления популярных приложений
Троян Mamont маскируется под средство для обхода ограничений и «ускорения» Telegram — актуальная тема в условиях блокировок. Злоумышленники распространяют «Telegram Video Player», «альтернативный Telegram» и другие псевдообновления. CraxsRAT распространялся под видом фотоархивов, документов и обновлений мессенджеров.
Вектор 4: Сторонние магазины приложений и APK-агрегаторы
На многих сайтах предлагается скачать APK популярных приложений — платных без оплаты или заблокированных. Такие сайты нередко содержат вредоносные модифицированные версии. «Доктор Веб» зафиксировал, что злоумышленники активно используют модифицированные версии популярных приложений как основной вектор доставки бэкдоров.
Вектор 5: Triada — заражённые смартфоны прямо из магазина
По данным «Лаборатории Касперского», в 2025 году фиксировались случаи, когда устройство было заражено троянцем Triada уже в момент покупки. Это либо смартфоны малоизвестных производителей, либо подделки под известные бренды, купленные на онлайн-маркетплейсах. При первом включении смартфон уже инфицирован — бэкдор встроен в прошивку.
Вектор 6: Вредоносный контент в Google Play
Несмотря на модерацию, в Google Play регулярно проникают вредоносные приложения. За 2024–2025 годы через официальный магазин было загружено более 42 миллионов экземпляров вредоносных приложений. «Доктор Веб» в IV квартале 2025 года выявил более двух десятков вредоносных приложений Android.Joker прямо в Google Play.
Вектор 7: SMS-фишинг и QR-коды
Злоумышленники распространяют трояны через SMS под видом ссылок на «обновления» банковских приложений Сбербанка, ВТБ, Тинькофф (T-Банк). Формат сообщения: «Ваш аккаунт заблокирован, скачайте обновление по ссылке». QR-коды в публичных местах — новый вектор, который сложнее распознать как фишинг.
4. Как работают банковские трояны: механика кражи денег изнутри
Большинство пользователей не понимают, что именно происходит после установки трояна — и именно это незнание делает их уязвимыми. Разберём механику пошагово.
Этап 1: Установка и запрос разрешений
После запуска вредоносного APK троян запрашивает разрешения. Критически важные для его работы: стать SMS-приложением по умолчанию (перехват всех кодов подтверждения), специальные возможности Android (Accessibility Service) — позволяет читать экран, нажимать кнопки и вводить текст от имени пользователя, разрешения на наложение поверх других приложений (фишинговые окна поверх банковского приложения), уведомления и управление устройством.
Пользователь видит запрос разрешений, который выглядит обычно. Некоторые трояны отображают поддельный «экран загрузки» или «проверки» во время установки, чтобы создать ощущение, что приложение работает корректно.
Этап 2: Закрепление в системе
После получения разрешений троян скрывается. По данным F6, версия Mamont декабря 2025 года после получения разрешений скрывает свою иконку. В панели уведомлений появляется постоянное оповещение о «доступных обновлениях», которое пользователь не может удалить — именно оно не даёт операционной системе «убить» приложение в фоне. Троян продолжает работать постоянно, даже когда телефон заблокирован.
Этап 3: Разведка
Закрепившись, троян сканирует устройство: выявляет установленные банковские приложения, маркетплейсы, мессенджеры; читает архив SMS-сообщений, включая полученные до заражения; получает данные о SIM-картах; определяет баланс счетов через USSD-запросы.
Этап 4: Активная кража
Дальнейшие действия зависят от типа трояна. Для Mamont: злоумышленники получают доступ ко всем SMS, включая коды банков → входят в банковский личный кабинет → переводят деньги или оформляют кредит от имени жертвы. Для SpyNote: оператор в реальном времени видит экран телефона жертвы → руководит ею по телефону или сам вводит данные через удалённое управление. Для NFCGate: троян передаёт NFC-сигнал карты жертвы на телефон злоумышленника → тот снимает деньги в банкомате. Для CraxsRAT: полный удалённый доступ к устройству без участия жертвы.
Этап 5: Вторичное использование заражённого устройства
По данным F6, аналитики особо подчёркивают: главная опасность новых версий Mamont в том, что заражённое устройство превращается в пособника мошенников. Смартфон может использоваться как узел для переадресации криминального трафика, источник звонков от «службы безопасности банка» с реального номера жертвы, канал для рассылки мошеннических сообщений по контактам жертвы.
5. Mamont: главная угроза для россиян в 2026 году
Mamont — на сегодняшний день наиболее распространённый и опасный банковский троян для российских Android-пользователей. По прогнозу компании F6, он сохранит статус главной мобильной угрозы в 2026 году.
История и масштаб
Первые версии Mamont были обнаружены осенью 2023 года. За 2024–2025 годы троян прошёл активную эволюцию и был адаптирован под массовые мошеннические схемы. По данным МВД России, на Mamont пришлось 38,7% всех заражений мобильных устройств в банковском секторе России во втором полугодии 2025 года. По данным компании F6, около 47% всех скомпрометированных устройств несут следы именно этого трояна.
По данным «Лаборатории Касперского», в 2025 году Mamont занял около половины от общего числа новых приложений категории банковских троянов, и он же использовался в половине всех атак этой категории. В третьем квартале 2025 года число новых установок Mamont в России росло в среднем на 60 устройств в день. Средняя сумма списаний в результате успешных атак составляла около 30 тысяч рублей.
Техническая эволюция: что умеет Mamont в 2025–2026 году
По результатам анализа версии декабря 2025 года, проведённого аналитиками F6, Mamont обладает следующими возможностями:
Перехват коммуникаций: читать все SMS, включая архивные сообщения, полученные до заражения; отправлять SMS с телефона жертвы; перехватывать коды входа в Telegram-аккаунты.
Разведка устройства: обнаруживать установленные приложения банков, финтех-компаний, маркетплейсов, мессенджеров и социальных сетей; получать данные о SIM-картах; отправлять USSD-запросы для проверки баланса и активных услуг.
Монетизация: получать достаточно данных (личная информация + номер телефона + доступ к SMS) для входа в банковские кабинеты, оформления кредитов и займов, несанкционированных переводов.
Модель распространения: MaaS
Аналитики «Лаборатории Касперского» фиксируют, что создатели Mamont придерживаются сервисной модели (Malware-as-a-Service): любой мошенник за деньги может сгенерировать кастомизированную версию. Именно поэтому разные не связанные между собой киберпреступники распространяют уникальные сборки Mamont — под разные банки, разные легенды, разные аудитории.
Маскировки Mamont
По данным «Лаборатории Касперского» и F6, Mamont распространяется в виде: поддельных версий Telegram и Telegram Video Player, приложений для «обхода блокировок», фейковых трекеров посылок и доставки, поддельных приложений банков и государственных сервисов, псевдо-антивирусов и «защитных» программ.
6. NFCGate и CraxsRAT: кража данных карты через NFC
Связка NFCGate и CraxsRAT представляет собой принципиально новый класс угрозы — атаку, которая эксплуатирует саму технологию бесконтактных платежей.
Что такое NFCGate
NFCGate изначально был разработан в 2015 году студентами Технического университета Дармштадта (Германия) как исследовательский инструмент для анализа и отладки NFC-трафика. Открытый исходный код превратил его в оружие: злоумышленники модифицировали программу для перехвата платёжных данных.
По данным «Лаборатории Касперского», с конца 2024 по начало 2025 года было выявлено не менее 80 различных вредоносных образцов модифицированного NFCGate. Ещё сотня образцов добавилась к весне 2025 года. За третий квартал 2025 года в России было зафиксировано более 44 тысяч атак с ретрансляцией NFC — в полтора раза больше, чем кварталом ранее.
Механика прямой атаки через NFCGate
В прямой схеме смартфон жертвы играет роль «считывателя», а смартфон злоумышленника — эмулятора карты. Мошенники убеждают пользователя установить вредоносное приложение под видом банковского сервиса или программы «защиты счёта». После установки жертву просят приложить банковскую карту к смартфону и ввести PIN-код на фишинговой странице — якобы «для верификации». В этот момент данные карты уходят к злоумышленникам, которые снимают деньги с её счёта в банкомате.
Весной 2025 года возникла «обратная» версия атаки: теперь смартфон злоумышленника выступает считывателем (прикладывается к банкомату), а смартфон жертвы — эмулятором карты. Это изменение позволяет проводить транзакции даже без физического присутствия злоумышленника рядом с картой жертвы.
CraxsRAT: как NFCGate попадает на устройство без звонка
CraxsRAT — многофункциональный Android-троян, разработанный на основе исходного кода SpyNote. Его ключевое назначение в связке: загрузить и установить NFCGate на устройство без звонков и уговоров жертвы. Весь процесс происходит в фоне, автоматически.
По данным F6, в феврале 2025 года число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрём 2024 года, достигнув более 22 тысяч заражённых устройств. К марту 2025 года суммарно свыше 180 тысяч российских смартфонов несли следы обоих вредоносов одновременно.
Связка CraxsRAT + NFCGate обеспечивает злоумышленникам: полный удалённый доступ к устройству, перехват банковских уведомлений и одноразовых кодов, возможность вывода денег через NFC без участия жертвы. В даркнете аналитики F6 обнаружили объявления об аренде единого программного комплекса, объединяющего обе программы.
7. SpyNote: шпионский троян с удалённым доступом к экрану
SpyNote — один из старейших и наиболее мощных банковских троянов для Android. В отличие от Mamont, который действует автономно, SpyNote предоставляет оператору прямой доступ к экрану и управлению телефоном жертвы в реальном времени.
Масштаб и рост
По данным «Лаборатории Касперского», в 2024 году количество атак с использованием SpyNote в России выросло почти в девять раз по сравнению с 2023 годом и исчислялось сотнями тысяч. SpyNote особенно популярен у злоумышленников, занимающихся телефонным мошенничеством: оператор звонит жертве, представляется сотрудником «службы безопасности банка», убеждает установить «приложение защиты» — и одновременно видит всё происходящее на экране жертвы в реальном времени.
Возможности SpyNote
SpyNote предоставляет оператору: видеопоток с экрана устройства жертвы в реальном времени, возможность управлять устройством (нажимать кнопки, вводить текст), доступ к камере и микрофону (скрытая съёмка и прослушивание), перехват SMS и push-уведомлений от банков, кейлоггер (запись всего вводимого текста, включая пароли).
Наиболее опасный сценарий: жертва вместе с оператором «проходит верификацию» в банковском приложении — думая, что помогает защитить счёт. На самом деле оператор в это время видит все данные на экране и может управлять телефоном.
CraxsRAT как наследник SpyNote
CraxsRAT, описанный в предыдущем разделе, разработан на исходных кодах SpyNote. Это означает преемственность функций удалённого доступа при добавлении новых возможностей — в частности, автоматической загрузки NFCGate.
8. Triada: бэкдор, который уже установлен в вашем смартфоне с завода
Triada — особый класс угрозы, отличающийся от остальных банковских троянов по способу заражения и уровню доступа.
Что такое Triada
Triada — системный бэкдор, встроенный непосредственно в прошивку устройства. Его особенность: он присутствует на смартфоне уже в момент покупки, до первого включения. По данным «Лаборатории Касперского», в 2025 году фиксировались случаи заражения как на смартфонах малоизвестных производителей, так и на подделках под известные бренды, приобретённых на онлайн-маркетплейсах.
По данным «Доктора Веб», заражено около 58 000 устройств, включая смартфоны, планшеты, ТВ-приставки и автомобили с Android-системами. До конца не установлено, происходит ли заражение на производстве или в логистической цепочке — но при первом включении смартфон уже инфицирован.
Примечательно, что данный бэкдор управляется в том числе через базу данных Redis — ранее такой подход в Android-угрозах не использовался, что свидетельствует о высоком техническом уровне создателей.
Что умеет Triada
По данным «Лаборатории Касперского», функциональность модулей Triada разнообразна. Они могут подменять URL-адреса в браузере (перенаправление на фишинговые сайты при попытке зайти в банк), блокировать подключения к определённым серверам, похищать учётные записи в социальных сетях и мессенджерах, включая TikTok, WhatsApp и Telegram, динамически загружать произвольные модули с сервера (новая функциональность добавляется по команде без ведома пользователя).
Как защититься от Triada
Покупать смартфоны только у авторизованных дилеров и в официальных фирменных магазинах. Избегать покупки на сомнительных маркетплейсах по нереально низким ценам. После покупки проверить устройство антивирусом, включая проверку системных приложений. Если антивирус обнаружил Triada — устройство требует замены или полного перепрограммирования прошивки у авторизованного сервисного центра.
9. Анатомия атаки: как выглядит типичная схема кражи денег от начала до конца
Чтобы понять, как защититься, полезно пройти весь сценарий атаки глазами злоумышленника. Ниже — реальные схемы 2025–2026 годов.
Схема 1: Mamont через «трекер доставки»
Жертва ожидает посылку. В Telegram приходит сообщение от незнакомого аккаунта (или со взломанного аккаунта знакомого): «Ваша посылка задержана, установите приложение для отслеживания». Прикреплён APK-файл. Жертва устанавливает приложение, разрешает стать SMS-приложением по умолчанию. Mamont скрывается, иконка исчезает. Злоумышленники читают все SMS жертвы в реальном времени, включая коды банков. Через несколько часов или дней — вход в банковское приложение, перевод средств или оформление кредита. Жертва узнаёт о краже из SMS об успешной операции.
Схема 2: NFCGate через «сотрудника банка»
Звонок от «службы безопасности банка»: «Ваш счёт пытаются взломать, нужно срочно установить защитное приложение». По ссылке в SMS скачивается APK с NFCGate под видом «Защита карт ЦБ РФ». Жертву просят приложить банковскую карту к телефону «для верификации» и ввести PIN-код. Данные NFC уходят к злоумышленнику. Злоумышленник прикладывает свой телефон к банкомату и снимает деньги.
Схема 3: CraxsRAT + NFCGate без звонка
В Telegram группе или в личном сообщении — ссылка на «альтернативный Telegram без блокировок». Пользователь скачивает APK с CraxsRAT. CraxsRAT в фоне загружает и устанавливает NFCGate. Злоумышленники получают удалённый доступ ко всему устройству. Параллельно — возможность перехватить NFC-данные при любом удобном моменте. Жертва ни о чём не подозревает — «альтернативный Telegram» может даже работать.
Схема 4: SpyNote + телефонный мошенник
Звонок от «сотрудника Сбербанка»: «Мы заметили подозрительную активность, нужна верификация». Присылается ссылка на «приложение удалённой помощи» с SpyNote. После установки оператор видит экран жертвы в реальном времени. Жертву просят «самостоятельно» зайти в банковское приложение — оператор видит все данные, PIN-код и баланс. Затем — либо жертва сама делает перевод «на безопасный счёт», либо оператор берёт управление телефоном.
10. Как распознать заражение: 15 признаков, что на смартфоне троян
Банковские трояны стараются быть невидимыми. Тем не менее ряд признаков можно заметить при внимательном наблюдении.
Признаки в поведении телефона
1. Смартфон сильно разряжается даже без активного использования — троян постоянно работает в фоне и передаёт данные.
2. Телефон перегревается в режиме ожидания — признак скрытой фоновой активности.
3. Резкий рост потребления мобильного трафика без очевидной причины — троян отправляет данные на сервер злоумышленников.
4. Приложения открываются или закрываются сами по себе — признак удалённого управления (SpyNote, CraxsRAT).
5. В панели уведомлений есть постоянное уведомление, которое нельзя удалить — характерный признак Mamont.
6. Устройство работает медленнее обычного без видимых причин.
Признаки в настройках
7. В разделе «Специальные возможности» (Accessibility) появились незнакомые приложения с правами доступа.
8. В разделе «Администраторы устройства» есть незнакомые приложения.
9. В настройках SMS-приложения по умолчанию установлено незнакомое приложение — не системное и не то, что вы выбирали.
10. В разделе «Установленные приложения» есть приложения, которые вы не устанавливали.
11. Разрешения у каких-то приложений избыточны — приложение «фонарик» имеет доступ к SMS и местоположению.
Признаки в активности аккаунтов
12. В истории SMS или push-уведомлений есть сообщения о входе в банк, которых вы не совершали.
13. На телефоне есть исходящие SMS, которые вы не отправляли.
14. В банковском приложении появились операции, которых вы не делали.
15. Знакомые сообщают, что получали от вас подозрительные сообщения или ссылки, хотя вы ничего не отправляли.
> Важно: наличие одного признака не гарантирует заражение. Но наличие двух или более требует немедленной проверки.
11. Как удалить банковский троян: пошаговая инструкция
Если вы подозреваете заражение — действовать нужно быстро и в правильном порядке.
Шаг 1: Немедленно — отключить интернет
Прежде всего: отключить мобильные данные и Wi-Fi. Это прекратит передачу данных трояну и его командным серверам. Если троян уже работает с банковскими приложениями — это также ограничит его возможности.
Шаг 2: Позвонить в банк с другого устройства
Позвоните в банк с другого телефона (стационарного или чужого смартфона) по номеру, указанному на карте или на официальном сайте. Сообщите о подозреваемом заражении и попросите временно заблокировать карту и счёт. Это самый важный шаг для предотвращения финансовых потерь.
Шаг 3: Попытаться удалить приложение стандартным способом
Настройки → Приложения → найти подозрительное приложение → Удалить. Если кнопка «Удалить» неактивна — приложение получило права администратора устройства. Сначала нужно снять права: Настройки → Безопасность → Администраторы устройства → найти приложение → Деактивировать → вернуться к удалению.
Если приложение недоступно через стандартный интерфейс (троян скрыл иконку): Настройки → Приложения → нажать три точки → Показать системные приложения → искать подозрительные названия.
Шаг 4: Запустить проверку антивирусом в безопасном режиме
Загрузите телефон в безопасном режиме (для большинства Android: удерживать кнопку питания → нажать и удержать «Отключить питание» → согласиться с запуском в безопасном режиме). В безопасном режиме работают только системные приложения, трояны-«пользовательские приложения» не запускаются. Установите антивирус (Dr.Web, Kaspersky) и выполните полную проверку. Следуйте инструкциям антивируса по удалению.
Шаг 5: Если троян не удаляется — сброс до заводских настроек
Если троян не удаётся убрать стандартными методами, единственный надёжный способ — полный сброс до заводских настроек (hard reset). Перед сбросом: убедитесь, что важные данные (фото, контакты) сохранены в облаке. После сброса НЕ восстанавливайте резервную копию, созданную уже после заражения — в ней может быть сохранён троян.
Для устройств с Triada в прошивке: заводской сброс не поможет, так как бэкдор встроен в системный раздел. В этом случае требуется перепрошивка устройства у авторизованного сервисного центра или замена устройства.
Шаг 6: После удаления — смена всех паролей
После очистки устройства смените пароли ко всем аккаунтам: банковское приложение, Госуслуги, email, социальные сети, мессенджеры. Делайте это с другого устройства или убедившись, что троян полностью удалён. Включите двухфакторную аутентификацию там, где она ещё не включена.
12. Защита смартфона: полный чек-лист из 25 мер
Защита от банковских троянов — это не один антивирус, а совокупность технических настроек, привычек и поведенческих паттернов.
Технические меры (настройки телефона)
1. Никогда не включать установку из неизвестных источников. Настройки → Безопасность → Неизвестные источники — должно быть отключено. Включайте только на время установки конкретного доверенного приложения и немедленно отключайте обратно.
2. Регулярно обновлять операционную систему Android. Обновления закрывают уязвимости, через которые трояны получают системный доступ.
3. Регулярно обновлять все установленные приложения — через Google Play, не через сторонние APK-файлы.
4. Установить мобильный антивирус и включить постоянную защиту. Проверенные решения для Android: Kaspersky для Android, Dr.Web Security Space, ESET Mobile Security.
5. Включить Google Play Protect. Настройки Google Play → Play Protect → Сканировать приложения. Эта функция проверяет установленные приложения на наличие вредоносного кода.
6. Регулярно проверять раздел «Специальные возможности» (Accessibility). Там должны быть только приложения, которым вы лично дали этот доступ (например, приложения для людей с ограниченными возможностями, некоторые менеджеры паролей). Незнакомые приложения с этим разрешением — красный флаг.
7. Проверять разрешения всех установленных приложений. Настройки → Приложения → выбрать приложение → Разрешения. Каждое разрешение должно быть оправдано функциональностью приложения.
8. Использовать отдельное устройство для банковских операций — если позволяет бюджет. На этом устройстве не устанавливать ничего, кроме банковских приложений.
9. Включить блокировку экрана с PIN-кодом или биометрией. Блокировка экрана не защищает от установленного трояна, но защищает от физического доступа к устройству.
10. Настроить уведомления о банковских операциях по всем картам и счетам. Немедленное уведомление позволяет вовремя среагировать на несанкционированную транзакцию.
Поведенческие меры
11. Никогда не устанавливать APK-файлы из мессенджеров, SMS или email — даже от знакомых (их аккаунт может быть взломан).
12. Скачивать приложения только из Google Play. Перед установкой проверять: реальное ли это приложение (количество отзывов, дата публикации, разработчик).
13. При любом звонке от «банка», «налоговой», «Госуслуг» — не устанавливать никакие приложения. Реальные банки не просят устанавливать приложения по телефону.
14. Никогда не прикладывать карту к телефону по просьбе из звонка или сообщения — вне зависимости от легенды.
15. Проверять разрешения при установке любого приложения. Приложение-фонарик, запрашивающее доступ к SMS — мошенничество.
16. Не переходить по ссылкам из SMS о «заблокированных картах» или «задержанных посылках».
17. Не сканировать QR-коды, предлагающие установить «защитное приложение» или «обновление банка».
18. При получении приложений через мессенджер — связываться с отправителем по другому каналу (звонок) для подтверждения.
Финансовые меры
19. Установить лимиты на онлайн-операции в банковском приложении. Ограничить суточный лимит переводов на случай компрометации.
20. Использовать виртуальные карты для онлайн-покупок с небольшим остатком.
21. Включить SMS-подтверждение для всех операций выше определённой суммы.
22. Регулярно проверять историю операций по всем счетам.
23. Не хранить на карте, привязанной к телефону, крупные суммы — только необходимый операционный остаток.
Специальные меры для NFC
24. Если вы не используете бесконтактные платежи — отключить NFC. Настройки → Подключения → NFC → отключить. Это закрывает вектор атаки для NFCGate.
25. При использовании NFC-платежей: приложить карту к смартфону только в процессе реальной транзакции в магазине, по своей инициативе — никогда по просьбе третьих лиц.
13. Что делать, если деньги уже украли: алгоритм возврата
Если кража произошла, время критически важно. Чем быстрее вы действуете — тем выше шансы на возврат средств.
Первые 60 минут — самые важные
Немедленно позвоните в банк на номер, указанный на карте или официальном сайте, с другого телефона. Потребуйте: заблокировать карту и счёт, остановить все текущие операции, зафиксировать факт обращения с указанием времени. Если кредит оформлен без вашего ведома — сообщите об этом также немедленно и потребуйте его отмены как мошеннической операции.
В течение первого дня
Подайте заявление в банк о несанкционированных операциях в письменной форме (в отделении или через официальное приложение/сайт). По закону 161-ФЗ «О национальной платёжной системе», банк обязан вернуть деньги, если клиент сообщил о краже не позднее следующего дня после того, как получил уведомление об операции — при условии, что клиент не нарушал правила безопасности.
Обратитесь в полицию и подайте заявление о мошенничестве. Получите талон-уведомление о принятии заявления — он нужен для банка. Зафиксируйте все доказательства: скриншоты переписки, информацию об установленных приложениях, историю SMS.
Куда ещё обратиться
Горячая линия Банка России: 8-800-300-30-00 (бесплатно). Если банк отказывает в возврате — направьте жалобу в Банк России через официальный сайт cbr.ru. Финансовый омбудсмен рассматривает споры с банками до 500 тысяч рублей. При отказе банка и полиции — обратиться в суд с иском.
Важный нюанс: когда банк имеет право отказать
Банк может отказать в возврате, если установит, что клиент добровольно установил вредоносное приложение и сам предоставил мошенникам коды подтверждения. Это юридически сложная зона. В 2025 году вступили в силу поправки, обязывающие банки возвращать средства в течение 30 дней при переводе на счета из базы данных ФинЦЕРТ Банка России. Следите за актуальными разъяснениями на сайте Банка России и в правовых изданиях.
14. FAQ: 12 вопросов про банковские трояны на Android
Q 01 Android опаснее iOS с точки зрения банковских троянов?
A Да, значительно. По данным всех ведущих ИБ-компаний, подавляющее большинство мобильных банковских троянов нацелено именно на Android. Причины: открытая экосистема Android позволяет устанавливать приложения из любых источников; iOS значительно строже ограничивает разрешения, в частности доступ к SMS и управлению другими приложениями. Однако iOS не является абсолютно безопасной — фишинговые сайты и социальная инженерия работают на любой платформе.
Q 02 Может ли антивирус обнаружить все банковские трояны?
A Нет, не все. Свежие версии трояна Mamont генерируются для каждого мошенника индивидуально — это означает уникальную сигнатуру для каждого образца. Сигнатурный анализ не помогает против неизвестных версий. Современные антивирусы используют поведенческий анализ и облачную проверку, что повышает вероятность обнаружения, но не даёт 100% гарантии. Антивирус — важный, но не единственный уровень защиты.
Q 03 Если я не открывал подозрительных ссылок, могу ли я быть заражён?
A Да. Случай с Triada показывает, что троян может быть предустановлен в прошивке ещё до покупки. Также возможно заражение через уязвимости в браузере при посещении легитимных сайтов (drive-by download), хотя это редкий вектор для Android. Поэтому регулярная проверка разрешений приложений актуальна даже для осторожных пользователей.
Q 04 Троян установлен на телефоне родственника. Могут ли через него атаковать меня?
A Да. Если на телефоне родственника установлен Mamont или аналогичный троян, злоумышленники могут рассылать вредоносные сообщения от его имени всем контактам, включая вас. Это классический вектор распространения: «Привет, посмотри эту ссылку» от знакомого номера воспринимается как заслуживающее доверия сообщение.
Q 05 Почему трояны масируются под госприложения? Нельзя ли это остановить?
A Злоумышленники используют бренд государственных сервисов как источник автоматического доверия — пользователь не ожидает подвоха от «Госуслуг» или «ЦБ РФ». Юридически это уголовно наказуемо, но технически остановить полностью сложно: создатели APK-файлов часто находятся в других юрисдикциях или используют анонимные инструменты. Правило для пользователя: все официальные приложения государственных сервисов скачивать только через ссылки на официальных сайтах этих ведомств.
Q 06 Поможет ли VPN защитить от банковских троянов?
A Нет, VPN не защищает от банковских троянов. VPN шифрует интернет-трафик, но если троян уже установлен на устройстве — он работает внутри этого трафика. Троян не «приходит по сети» — он устанавливается пользователем вручную. VPN не влияет на разрешения приложений, перехват SMS или удалённый доступ.
Q 07 Безопасно ли использовать банковское приложение с рутованного телефона?
A Нет. Root-доступ значительно повышает риски: трояны с root-правами имеют полный доступ к системе и могут обходить любые защитные механизмы. Большинство банковских приложений в России проверяют наличие root и ограничивают функциональность на таких устройствах — именно по соображениям безопасности.
Q 08 Что такое MaaS и почему это опасно?
A MaaS (Malware-as-a-Service) — модель, при которой троян предоставляется как платная услуга. Мошенник без технических знаний платит создателям Mamont и получает готовую кастомизированную версию под свою схему. Это снижает барьер входа в банковское мошенничество до нуля: навыки программирования не нужны. Именно поэтому количество уникальных образцов Mamont исчислялось тысячами в год.
Q 09 Может ли банковский троян работать на iPhone?
A Классические банковские трояны для Android на iPhone не работают — разные операционные системы. Однако для iOS существуют фишинговые атаки через браузер, поддельные профили конфигурации MDM, а на устройствах с джейлбрейком — более широкий спектр угроз. Также шпионские программы типа Pegasus атакуют iPhone, но это таргетированные атаки, а не массовое мошенничество.
Q 10 Как проверить, заражён ли конкретный APK-файл?
A Загрузите APK-файл на сайт virustotal.com — он проверит файл по базам 70+ антивирусных движков. Это не даёт 100% гарантии (новые образцы могут не определяться), но позволяет исключить известные угрозы. Лучшая защита — не устанавливать APK-файлы из мессенджеров вообще.
Q 11 Что означает «Triada в прошивке» — как это проверить?
A Проверить наличие Triada можно через полное сканирование Dr.Web Security Space с включённой проверкой системных приложений. Однако если Triada встроена в прошивку на системном разделе — стандартный антивирус может её не обнаружить. Косвенные признаки: незнакомые системные приложения без возможности удаления, аномальный сетевой трафик к незнакомым серверам, поведение, описанное в разделе о Triada.
Q 12 Обязан ли банк вернуть деньги, украденные через банковский троян?
A По закону 161-ФЗ банк обязан вернуть деньги, если клиент сообщил об операции в течение следующего дня. Но на практике банки нередко отказывают, ссылаясь на то, что клиент «добровольно установил приложение». Судебная практика в этой области неоднородна. Шансы на возврат выше, если есть факт подтверждённого заражения (заключение антивируса или результаты сканирования), обращение в полицию с зарегистрированным заявлением, и обращение в Банк России при отказе банка.
15. Чек-лист: экспресс-аудит смартфона за 10 минут
Блок A: Проверка приложений (3 минуты)
- [ ] Настройки → Приложения → просмотреть список: нет ли незнакомых приложений без иконки или с подозрительными названиями
- [ ] Настройки → Безопасность → Специальные возможности (Accessibility): только доверенные приложения с этим разрешением
- [ ] Настройки → Безопасность → Администраторы устройства: только доверенные приложения
- [ ] Настройки → Приложения → SMS-приложение по умолчанию: стандартное системное приложение, а не незнакомая программа
Блок B: Проверка настроек безопасности (3 минуты)
- [ ] Настройки → Безопасность → Неизвестные источники: ОТКЛЮЧЕНО
- [ ] Google Play → Play Protect: ВКЛЮЧЕНО, последняя проверка — сегодня
- [ ] Настройки → Система → Обновления системы: установлены последние доступные
- [ ] Мобильный антивирус установлен и имеет актуальные базы
Блок C: Проверка финансовой безопасности (2 минуты)
- [ ] В банковском приложении: все операции за последние 7 дней знакомы
- [ ] Push-уведомления от банка включены для всех операций
- [ ] Суточный лимит переводов установлен на разумный уровень
- [ ] Карты заблокированы для онлайн-операций, если вы их не используете
Блок D: Проверка признаков заражения (2 минуты)
- [ ] Потребление трафика в Настройки → Сеть → Использование данных: нет ли приложений с аномально высоким потреблением?
- [ ] Заряд батареи расходуется в обычном темпе?
- [ ] В журнале звонков и SMS нет исходящих, которых вы не делали?
- [ ] Знакомые не сообщали о подозрительных сообщениях от вас?
> Если на все вопросы ответ «да» и все пункты выполнены — ваш смартфон в безопасном состоянии. Повторяйте аудит раз в месяц.
16. Заключение
Банковские трояны для Android в 2026 году — не экзотическая угроза для «невнимательных» пользователей. Это организованная индустрия с сервисной моделью распространения, продвинутыми техническими инструментами и оборотом в миллиарды рублей ущерба ежегодно. Mamont атаковал в 36 раз больше пользователей в 2025 году, чем годом ранее. 1,5 миллиона российских Android-устройств сегодня скомпрометированы.
Хорошая новость: большинство атак можно предотвратить относительно простыми мерами. Не устанавливать APK из мессенджеров. Проверять разрешения приложений. Никогда не прикладывать карту к телефону по просьбе «банка». Держать антивирус актуальным. Эти четыре правила закрывают большинство реальных векторов заражения.
Следите за новыми угрозами на Anti-Malware.ru, SecurityLab.ru и в официальном блоге «Лаборатории Касперского» — экосистема банковских троянов обновляется быстрее, чем любой статичный справочник.
Пять правил защиты от банковских троянов
1. APK-файлы из мессенджеров — никогда, даже от знакомых
2. Карту к телефону по звонку — никогда, ни по какой легенде
3. Специальные возможности (Accessibility) — только для приложений, которым вы лично доверяете
4. Обновления — регулярно, только через официальные каналы
5. Подозрение на заражение — немедленно звонить в банк с другого телефона
