Эксперты обнаружили рабочие серверы вредоносного приложения Mamont
Часть сетевой инфраструктуры шпионского приложения Mamont для Android, с помощью которого хакеры крали деньги с банковских карт, все еще действует, выяснили эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар».
Специалисты выявили четыре рабочих сервера Mamont и один управляющий сервер с функциональностью, которая создает новые версии приложения.
В последние месяцы злоумышленники рассылали сообщения с приложением под видом видео с текстом «Это ты на видео?». После скачивания жертву перенаправляли на страницу с анимацией загрузки, а вредоносное приложение запускалось в скрытом режиме.
Программа собирала данные об устройстве, осуществляла звонки, перехватывала СМС и отправляла их на сервер хакеров. Это позволяло преступникам получать доступ к мессенджерам, сбрасывать пароли, совершать банковские операции без ведома владельца и оформлять платные подписки. Для бизнеса угроза связана с возможным проникновением в корпоративные системы через СМС-коды двухфакторной аутентификации.
В компании посоветовали не открывать подозрительные файлы, проверять расширения файлов, следить за подписками, использовать антивирус и удалять опасные приложения через настройки.
В апреле 2024 года хакеры атаковали свыше 19 млн российских пользователей смартфонов Android. Самыми распространенными киберугрозами тогда стали вирусы Dwphon и Mamont.
Мобильный вирус Mamont злоумышленники распространяли на неофициальных площадках (например, APKPure), в том числе под видом приложений для взрослых, служб доставок и финансовых организаций. Программу использовали для выманивания платежных данных людей, оно также способно получать доступ к СМС на гаджете.
В январе 2025 года МВД также предупредило о рассылках вируса-трояна Mamont. Тогда также шла речь о сообщениях с приложением под видом видео с текстом «Это ты на видео?».
Читайте РБК в Telegram.