Специалисты отдела реагирования и цифровой криминалистики Angara MTDR завершили анализ обновлённой версии вредоносных Android‑приложений семейства Mamont. Как и прежде, злоумышленники маскируют зловред под «фотографии» из объявлений о продаже бытовых вещей, однако функциональность новой модификации значительно расширена и теперь более чётко ориентирована на кражу персональных данных. Результаты исследования опубликовал руководитель направления обратной разработки Angara MTDR Александр Гантимуров в корпоративном блоге на платформе Habr.
Эксперты изучили два APK‑файла объёмом около 10 МБ, отличающихся между собой лишь незначительными элементами оформления. В их названиях традиционно встречаются слова вроде «photo» или «фото», что помогает злоумышленникам внушать доверие жертвам. Основной канал распространения остаётся прежним: вредонос рассылают через мессенджеры, чаще всего в рамках фиктивных объявлений о продаже вещей при переезде — популярную социальную схему, рассчитанную на людей, ожидающих медиафайлы. Ранее разработчики Mamont маскировали APK под изображения или короткие видеоролики, но теперь техника стала более изощрённой и психологически правдоподобной.
После установки приложение запрашивает расширенные разрешения: отправку и приём SMS, доступ к телефонным вызовам и камере. Получив их, оно перенаправляет пользователя на фишинговый веб‑сайт, стилизованный под сервис хранения фотографий. Основная цель — сбор персональных данных, которые пользователь может добровольно ввести, полагая, что загружает или просматривает изображения.
В актуальной версии некоторые функции передачи данных пока реализованы частично. Связь с командным сервером построена через клиент retrofit2, а обмен информацией происходит в формате JSON. В коде присутствует модуль uploadVerificationData, который пока отключён, однако его наличие указывает на подготовку к расширению набора собираемых сведений.
Анализ структуры и логики кода показывает, что разработчики вредоносного ПО планируют собирать значительно больше информации, включая личные данные, номера документов и потенциально другие идентификаторы. По оценке Александра Гантимурова, это может свидетельствовать о подготовке к более масштабной и автоматизированной кампании — вероятно, ориентированной на массовую кражу персональных данных, их последующую продажу или использование в мошеннических схемах. Такой вектор развития характерен для современных мобильных троянов, которые постепенно превращаются из простых «одноразовых» вредоносов в полноценные инструменты киберпреступных экосистем.
