Специалисты компании Angara MTDR зафиксировали активную кампанию по распространению вредоносного программного обеспечения для устройств на базе Android. Злоумышленники маскируются под частных лиц, проводящих срочную распродажу личных вещей в группах и чатах социальных сетей и мессенджеров.
В рамках схемы мошенники размещают файл с названием «фото.APK»/ «папка с фото.APK», сопровождая его сообщением о срочной продаже всех вещей, изображённых на «фотографиях», которые якобы «для удобства» сжаты в архив. На деле этот файл содержит вредоносное ПО семейства Mamont, обладающее широким набором деструктивных функций.
«Исследованные нами образцы представляют собой троянца, предназначенного для скрытного получения и отправки SMS, сбора информации о заражённом устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных URL, — уточнил Александр Гантимуров, руководитель направления обратной разработки Angara MTDR. — При установке вредоносное приложение сразу запрашивает опасные разрешения: на отправку сообщений, доступ к звонкам и камере. После их предоставления пользователь видит фишинговую страницу сервиса по обмену изображениями, которая также может использоваться для сбора учетных данных».
После успешного внедрения вредоносное приложение получает на устройстве обширные привилегии, включая автозагрузку, осуществление звонков, полный доступ к SMS, контактам, камере и данным устройства (включая IMEI, Международный идентификатор мобильного оборудования). Вся собранная информация передается на удалённый сервер, с которого злоумышленники получают возможность управления заражённым смартфоном. Для усложнения анализа кода все основные строки в приложении зашифрованы.
Анализ вредоноса указывает на подготовку злоумышленников к масштабной кампании по сбору персональных данных. «Изучение показало, что в приложении уже заложен неиспользуемый пока функционал для запроса номера паспорта, даты рождения и верификации пользователя по лицу, — отметил Александр Гантимуров. — Это говорит о планах по расширению возможностей вредоносной программы. Например, видеоматериалы с лицом жертвы в дальнейшем могут быть использованы для создания таргетированных фишинговых сообщений и более эффективного распространения угрозы».
Эксперты Angara MTDR настоятельно рекомендуют пользователям:
-
Отключите автозагрузку медиафайлов (например, в настройках Telegram) и всегда проверяйте формат файла перед его открытием или скачиванием.
-
Никогда не устанавливайте APK-файлы из непроверенных сторонних источников, чатов и мессенджеров. Используйте только официальные магазины приложений, такие как Google Play и RuStore.
-
Перед открытием файлов в форматах «.docx», «.xlsx» и «.pdf», полученных из сомнительных источников, проверяйте их на специализированных сервисах вроде VirusTotal.
-
Установите и регулярно обновляйте антивирусное приложение от доверенного производителя на своём мобильном устройстве.
Angara MTDR — это сервисы для управления киберустойчивостью, в которых процессы и их эффективность определяют средства и меры защиты, а не наоборот. Angara MTDR предоставляет комплекс услуг для защиты организаций от актуальных угроз на всех этапах атак (от первичной разведки и подготовки атаки до нанесения ущерба) внутри периметра и за его пределами, в т.ч. расследования, устранение последствий и восстановление ИТ-инфраструктуры, если инцидент уже произошел. Является корпоративным центром ГосСОПКА класса «А» и участником информационного обмена с ФинЦЕРТ.
Angara Security — ведущий российский ИБ-интегратор и провайдер услуг по информационной безопасности. Компания специализируется на защите данных и бизнес-систем, предотвращает и расследует кибератаки.
10.12.2025
