Вирус Мамонт редко выглядит как что-то технически сложное. Злоумышленники бьют по привычке быстро открывать вложения и отвечать «на автомате». Сообщение приходит как «Смотри, ты на видео?» или «Проверь трек доставки», а дальше начинается установка приложения.
Название тоже не случайное. На жаргоне мошенников «мамонт» означает жертву, доверчивого человека, которого проще дожать на установку файла и выдачу разрешений. Такой сленг быстро перекочевал в названия схем и вредоносных сборок.
Уязвимость почти всегда одна и та же. Жертва получает APK, подтверждает установку из неизвестных источников, затем раздаёт разрешения. После этого на смартфоне появляется инструмент, который крадёт коды и подталкивает к переводам.
Самые удобные площадки для таких атак – любые групповые чаты и публичные сообщества. Там проще затеряться, а участники привыкли к потоку ссылок и файлов. В новостях вспоминали и MAX, но к заражению приводит не конкретный мессенджер, а установка APK из сообщения.
Похожую механику аналитики описывали и раньше, когда троян маскировали под сервис отслеживания доставки или сервисный инструмент. В разборе Лаборатории Касперского показан типичный сценарий с фальшивым приложением и дальнейшим сбором данных для кражи.
Что делает вредоносная программа и какие признаки выдают заражение
Основная цель семейства банковских троянов проста. Вредоносная программа пытается добраться до денег через коды подтверждения и уведомления. SMS и push-сообщения часто содержат одноразовые пароли, статусы переводов и предупреждения банка.
Дальше включается сбор контекста. Зловред смотрит, какие банки и платежные сервисы стоят на смартфоне, какие уведомления приходят, как человек подтверждает операции. Такой подход помогает атаковать точнее и реже попадать под быстрые блокировки.
Часть вариантов расширяет функциональность до удалённого контроля. В материалах F6 описывают развитие семейства и смещение в сторону возможностей, похожих на удалённый доступ. При таком сценарии злоумышленнику проще подстроить атаку под конкретную ситуацию.
Симптомы часто выглядят бытово, но комбинация сигналов говорит громко. Если после видео или сервиса отслеживания смартфон начинает странно себя вести, воспринимайте ситуацию как инцидент.
- Появились запросы на доступ к SMS, уведомлениям, звонкам или «Специальным возможностям» без ясной причины.
- Смартфон стал быстрее разряжаться, вырос трафик, появились неизвестные всплывающие окна.
- В SMS замечены исходящие сообщения, которых не отправляли, или банк прислал уведомления о действиях, которых не было.
- В списке приложений появилось неизвестное имя, а ярлык на рабочем столе отсутствует.
Чтобы быстро перевести подозрения в проверку, зайдите в настройки системы и посмотрите, что «ест» ресурсы. Откройте раздел аккумулятора и проверьте расход по приложениям, подсказки есть в справке Pixel и в общем руководстве по быстрому расходу.
Затем откройте управление разрешениями и проверьте, кто получил доступ к SMS, уведомлениям, звонкам и работе в фоне. Android показывает такие настройки в панели разрешений, ориентир по шагам есть в справке. Если видите неизвестную программу с доступом к уведомлениям, отключите доступ сразу.
Отдельно проверьте блок специальных возможностей. Банковские трояны любят закрепляться через доступность, потому что так проще перехватывать действия и мешать удалению. Быстрый путь к нужным разделам описан в меню специальных возможностей.
Профилактика на каждый день, которая ломает типовую цепочку атаки
Самое надёжное правило скучное, зато практичное. Не устанавливайте APK из чатов, писем и ссылок «от знакомого». Даже реальный контакт мог потерять доступ к аккаунту, а рассылку отправляет бот.
Установка приложений должна начинаться с официального магазина. Там работает проверка, а вредоносным сборкам сложнее закрепиться надолго. Включённая Play Защита часто ловит массовые вредоносные APK до установки и иногда находит угрозы уже после.
Второй барьер – контроль разрешений. Банковские трояны охотятся за SMS и уведомлениями, потому что коды подтверждения приходят именно туда. Android позволяет быстро править разрешения и отключать доступ, который не нужен приложению по смыслу.
Третий барьер – запрет установки из неизвестных источников. Если переключатель включён «на всякий случай», вредоносный APK получает фору. Включайте sideload только на короткий период, затем сразу выключайте.
Есть ещё один простой тест. Видео на Android не требует установки приложения из файла. Если видео просит установить APK, перед вами не видео, а установщик.
Что делать при подозрении на заражение
Сначала отключите сеть. Авиарежим или ручное выключение Wi-Fi и мобильных данных сокращают окно, когда зловред успевает получить команды и отправить перехваченные коды. После этого спокойно переходите к очистке.
Дальше найдите и удалите подозрительное приложение. Если удаление не проходит, причина часто связана с правами администратора устройства или доступом через «Специальные возможности». Снимите опасные права у сомнительной программы, затем повторите удаление.
Параллельно закройте финансовый риск. Если приходили странные уведомления или появились неизвестные списания, свяжитесь с банком и временно ограничьте дистанционные операции. Такой шаг быстрее всего останавливает потери.
После очистки смените пароли с другого устройства. Начните с почты, магазина приложений, мессенджеров и банковских сервисов. Проверьте, не добавились ли новые устройства в список доверенных, шаги есть в разделе Безопасность аккаунта Google.
Если симптомы остаются или вредоносное приложение не удаётся убрать, сделайте резервную копию важных данных и выполните сброс к заводских настроек. После сброса ставьте приложения только из официального магазина и сразу включите Play Защиту.
Заключение
Такие трояны выигрывают не «магией», а привычками. Достаточно одного APK из чата и пары разрешений, чтобы злоумышленник получил доступ к кодам и уведомлениям. Защита начинается с отказа от установки вложений и с внимательного взгляда на запросы разрешений. При заражении помогает холодная последовательность действий. Отключите сеть, снимите опасные права, удалите подозрительную программу и быстро закройте банковский риск. Затем смените пароли с другого устройства и верните безопасные настройки, чтобы следующая «видеозапись» не превратилась в установщик.
FAQ
Почему «видео из чата» внезапно просит установить приложение? На Android видео не приходит в виде APK. APK запускает установку приложения и требует дополнительные подтверждения в настройках. Мошенники прячут установщик под подписи «видео» или «фото», чтобы заставить нажать «установить».
Почему троян назвали «Мамонт»? В мошенническом жаргоне «мамонт» означает жертву, доверчивого человека, которого проще уговорить на лишние клики и переводы. Название цепляет и одновременно описывает цель атаки.
Какие разрешения чаще всего используют банковские трояны? Чаще всего запрашивают доступ к SMS и уведомлениям, иногда к звонкам и работе в фоне. Отдельный риск создают «Специальные возможности» и права администратора устройства, потому что такие доступы помогают перехватывать действия на экране и мешают удалению.
Play Защита спасает от заражения? Play Защита снижает риск, но не даёт стопроцентной гарантии. Проверка помогает отсеивать массовые вредоносные APK и иногда находит угрозу уже после установки.
Можно ли обойтись без сброса к заводским настройкам? Часто хватает удаления подозрительного приложения после снятия опасных прав и смены паролей с другого устройства. Сброс становится разумным шагом, когда зловред закрепился, не удаляется или симптомы возвращаются.
