Компания F6, специализирующаяся на создании решений для противодействия киберпреступлениям, проанализировала степень проникновения в России трояна удаленного доступа Mamont, рассматриваемого в качестве ключевой угрозы 2026 года. Согласно исследованию, около 1,5% Android-устройств в стране заражены тем или иным вредоносным ПО, причем на долю Mamont приходится 47% этих инцидентов. Обновленные варианты зловреда распространяются под маской документов со списками потерь, архивов с медиафайлами, а также защитного софта. Предполагаемый совокупный финансовый ущерб для клиентов российских банков только за ноябрь 2025 года может составлять свыше 150 миллионов рублей.
Вредоносное приложение Mamont для Android превратилось в одну из наиболее серьезных опасностей для клиентов крупнейших российских финансовых организаций. Сотрудники департамента по борьбе с финансовым мошенничеством (Fraud Protection) компании F6 пришли к выводу: по результатам 2025 года Mamont занимает лидирующую позицию, обгоняя NFCGate как по числу зараженных устройств, так и по объему причиненного ущерба.
Данные F6 свидетельствуют, что приблизительно 1,5% всех Android-устройств в России скомпрометированы – на них обнаружены следы различных вредоносных программ. При общей выборке в 100 миллионов устройств это означает заражение около 1,5 миллионов гаджетов. В 47% таких случаев выявлены признаки присутствия трояна удаленного доступа Mamont.
В течение третьего квартала 2025 года количество устройств в России, на которые пользователи устанавливали Mamont, замаскированный под легитимные приложения, ежедневно увеличивалось в среднем на 60 единиц. Средний размер потерь в результате успешных мошеннических операций за этот период достигал примерно 30 тысяч рублей. Совокупный ущерб от атак с использованием Mamont на клиентов российских банков только в ноябре 2025 года потенциально превышает 150 миллионов рублей.
В результате усовершенствования вредоносного приложения злоумышленники расширили перечень целевых программ на устройстве жертвы, улучшили функционал для перехвата SMS и удаленного управления, поставив атаки на владельцев Android-устройств на поток.
Эксперты F6 изучили версию Mamont, датированную декабрем 2026 года, проанализировали ее возможности и сформировали рекомендации по защите от данной угрозы.
Аналитики департамента Fraud Protection компании F6 относят Mamont к числу главных киберугроз 2026 года. Такой прогноз обусловлен значительным расширением возможностей в новых версиях вредоносного приложения.
Первые образцы этого вредоносного ПО специалисты F6 обнаружили в сентябре 2023 года. Одна из преступных группировок, действовавших по схеме «Мамонт», использовала в атаках Android-трояна, который маскировался под программу для оформления доставки товаров и распространялся через поддельный магазин Google Play.
За два года вредоносный функционал Mamont претерпел серьезные изменения, а киберпреступники автоматизировали процесс эксплуатации уязвимостей. По сравнению с более ранними версиями, вариант декабря 2025 года значительно продвинулся вперед в техническом отношении.
В 2025 году киберпреступники заражают гаджеты, распространяя вредоносные файлы в публичных чатах популярных мессенджеров, например, в общих беседах жильцов домов. Другой способ распространения Mamont — массовая рассылка фишинговых ссылок и заражённых файлов с взломанных устройств по всем контактам в списке жертвы.
Вирус маскируется под папки с фотографиями и видеозаписями, перечни пострадавших в ходе СВО, антивирусные программы и другие легитимные объекты. Распространённые имена таких файлов включают: «Списки 200-300», «Списки пропавших, пленных», «Фото_СтРашной_аварии», «ФОТО», «[Название известного поисковика]Photo», «МоеВидео».
Чтобы увеличить шансы на запуск вредоносного файла, злоумышленники сопровождают его провокационными сообщениями. К примеру, APK-файл с именем «Фото_СтРашной_аварии» может сопровождаться текстом: «Это ужасно… разбился насмерть».
Сразу после инсталляции вредоносная программа запрашивает опасное разрешение на установку в качестве основного приложения для работы с SMS. Это необходимо Mamont для последующего доступа к текстовым сообщениям на устройстве.
После получения требуемых разрешений вредоносное приложение скрывается, а в панели уведомлений появляется постоянное сообщение о доступных обновлениях. Пользователь не может его удалить. Именно это постоянное уведомление позволяет Mamont беспрерывно работать в фоне.
Версия Mamont, обнаруженная в декабре 2025 года, предоставляет злоумышленникам возможность: читать все SMS, включая архив сообщений, полученных до установки вредоносного ПО, и отправлять SMS с телефона жертвы; обнаруживать на устройстве приложения банков, финтех-компаний, маркетплейсов, мессенджеров и социальных сетей; получать данные о SIM-картах и отправлять USSD-запросы. Это позволяет оценить примерный баланс банковских счетов, наличие кредитов, определить, пароли от каких сервисов приходят по SMS, и пополнять этими данными мошеннические базы (CRM).
Узнав номер телефона жертвы, преступники собирают о ней информацию, используя открытые источники и данные из утечек через специализированные сервисы.
Часто полученных сведений (личные данные, номер телефона, доступ к SMS) достаточно для проведения незаконных финансовых операций — входа в личные кабинеты банков, кредитных и микрофинансовых организаций, оформления кредитов и займов, а также несанкционированных денежных переводов.
Эксперты F6 предупреждают: главная опасность новой версии Mamont заключается в том, что её функционал позволяет превратить владельца заражённого устройства в невольного пособника мошенников. Фактически, ничто не мешает злоумышленникам использовать такое устройство как узел связи для криминального трафика, источник телефонных звонков, сделать пользователя скрытым дропом или распространителем вредоносного ПО.
«При создании новых модификаций вредоносного ПО Mamont киберпреступники применяют весь накопленный арсенал знаний. В настоящее время злоумышленники конструируют опасные программы, интегрируя наиболее результативные методы кибермошенничества с помощью технологий искусственного интеллекта. Формирование вредоносного приложения под конкретную жертву осуществляется непосредственно в интерфейсе мошеннических CRM-систем и отнимает всего несколько минут. NFCGate, бывший основной угрозой для клиентов российских банков в 2025 году, к 2026-му превратится лишь в один из возможных модулей Android-троянов», – отметил Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Советы экспертов F6 для пользователей: Все известные варианты Mamont требуют назначения приложения для обработки SMS по умолчанию. Если программа при инсталляции запрашивает такое право, это может указывать на её вредоносную природу. Всегда внимательно изучайте разрешения, которые запрашивают приложения. Не предоставляйте доступ, если неясно, для каких целей он необходим. К примеру, если программа для доставки еды просит разрешение на чтение контактов и отправку SMS – это тревожный знак. Не устанавливайте приложения по советам незнакомых людей, по ссылкам из SMS, сообщений в мессенджерах, электронных писем или с подозрительных сайтов. Не вступайте в переписку в мессенджерах с неизвестными лицами, независимо от того, кем они себя называют: сотрудниками банков, почтовых или мобильных операторов, государственных или коммунальных служб. Не переходите по ссылкам из SMS и сообщений в мессенджерах, даже присланным от знакомых, если вы не ожидали такого сообщения. Если вам предлагают установить или обновить банковское приложение и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и проверьте, действительно ли это официальное обращение. Если вы обнаружили, что ваша банковская карта скомпрометирована, немедленно заблокируйте её, позвонив на горячую линию банка или через мобильное приложение. Не удаляйте банковские приложения по просьбе третьих лиц. Банковские приложения оснащены встроенными механизмами защиты от мошеннических атак и способны обезопасить вас от действий преступников.
Рекомендации экспертов F6 для подразделений информационной безопасности банков: принимать во внимание данные о местоположении пользователей. При использовании SMS для отправки одноразовых паролей внедрять механизмы проверки приложения, получающего SMS на устройстве клиента. Внедрять дополнительные средства защиты на устройстве пользователя для обнаружения сторонних вредоносных приложений.
Противодействовать подобным операциям банкам помогают антифрод-системы, анализирующие сессионные и поведенческие данные, а также новые технологии обнаружения подозрительных действий, которые могут оценивать как инициатора, так и адресата платежа.
К примеру, для анализа рисков операций и верификации клиента (KYC — знай своего клиента) компоненты платформы F6 Fraud Protection способны организовать сбор и обмен как межканальными сессионными сведениями, включая идентификаторы устройств, характеристики сетевого соединения, признаки компрометации, так и обезличенными персональными и транзакционными данными в реальном времени.
