30 июня 2026, 15:40

Как не пустить «Мамонта» в смартфон. Как спасти андроид от популярного трояна: он перехватывает SMS и не дает себя удалить

В 2026 году зараженных смартфонов в России стало на 70% больше, чем в 2025-м. По оценкам экспертов, скомпрометировано уже 1,5 млн устройства, причем 15% из них заражены банковским трояном (Mamont) «Мамонт». Он стал активнее атаковать гаджеты на фоне блокировок официальных приложений российских компаний в Googe Play. Где его чаще всего подхватывают и как выявить вирус, если он работает фоном и не дает себя удалить? Спросили у киберэкспертов.
Как не пустить «Мамонта» в смартфон. Как спасти андроид от популярного трояна: он перехватывает SMS и не дает себя удалить

© «Теперь вы знаете», создано при помощи нейросети

Как троян «Мамонт» проникает на устройство и крадет деньги

Вирус не запускается самостоятельно. Чтобы заразить систему, злоумышленникам нужно убедить владельца телефона установить скачанный файл с расширением .apk.

Пользователь регулярно ставит APK-файлы из ссылок в мессенджерах и поисковиках. Этим пользуются злоумышленники, создавая поддельный «банк» или «обновление приложения».

Антон Башарин
управляющий директор AppSec Solutions

Мошенники используют для этого методы социальной инженерии в мессенджерах. В схеме часто фигурируют взломанные аккаунты, например, в чатах жильцов или родительских группах.

Среди наиболее «популярных» у злоумышленников: рассылка зловреда в мессенджерах под видом фото или видео. При этом в названии таких файлов есть расширение .apk. Это означает, что пользователю прислали установочный пакет, то есть программу, а не что-либо иное.

Дмитрий Калинин
эксперт по кибербезопасности «Лаборатории Касперского».

Пользователь получает сообщение с предложением посмотреть фотографии или проголосовать в конкурсе. Однако ссылка на самом деле ведет на загрузку вредоносной программы. Мигнули — и она загрузилась. Также вирус часто маскируют под неофициальные обновления приложений или утилиты для отслеживания посылок. В этом случае ничего не подозревающий юзер своими руками находит и устанавливает этот файл.

Маскировка под легальные приложения работает лучше всего, потому что вызывает меньше подозрений при установке. Когда человек запускает скачанный файл, программа запрашивает права доступа. Для кражи денег трояну требуются два ключевых разрешения:

  1. Доступ к СМС-сообщениям. Позволяет вирусу читать входящие коды подтверждения от банков.

  2. Доступ к специальным возможностям (Accessibility Services). С этим разрешением троян может самостоятельно нажимать кнопки на экране, перехватывать push-уведомления и скрывать свои действия.

Получив права, «Мамонт» связывается со своим командным сервером. Вирус незаметно открывает банковские приложения, считывает баланс карт, запрашивает переводы через СМС-банкинг и подтверждает операции кодами из сообщений.

Вирус работает в фоновом режиме, поэтому вычислить его непросто.

Входящие СМС от банков троян сразу удаляет, поэтому владелец телефона часто замечает кражу только при проверке баланса в личном кабинете.

Как проверить, заражен ли телефон

Обнаружить присутствие вируса можно по косвенным признакам:

Пропадают входящие сообщения. Если вам отправляют СМС, но они не приходят, их может перехватывать и удалять троян. Особенно нужно проверить, не перестали ли внезапно приходить SMS от банков. - Батарея разряжается быстрее обычного. Постоянная отправка данных на командный сервер перегружает процессор. Смартфон начинает греться и быстро теряет заряд. - Появляются исходящие сообщения, которые вы не отправляли. Вирус рассылает фишинговые ссылки по списку контактов в мессенджерах, чтобы заразить другие устройства.

Чтобы найти скрытую программу, откройте настройки телефона и перейдите в раздел «Приложения». Внимательно изучите список.

© Коллаж: «Теперь вы знаете», создано при помощи нейросети

Ищите программы с подозрительными именами вроде «Обновление», «Доставка» или системными названиями без указания разработчика. Иногда вредоносные программы используют пустую строку вместо имени и стандартный значок Android.

Проверьте раздел настроек «Специальные возможности» (Accessibility).

Посмотрите, у каких программ есть доступ к управлению экраном. Если это разрешение выдано приложению, которое вы не устанавливали, немедленно отключите его.

Для подготовки атак с использованием новых версий Mamont злоумышленники объединяют весь накопленный опыт. Сегодня мошенники собирают вредоносные приложения с учетом наиболее эффективных киберпреступных решений при помощи инструментов искусственного интеллекта. Сборка ПО под конкретного пользователя происходит прямо в интерфейсе мошеннических баз данных и занимает считаные минуты.

Дмитрий Ермаков
ведущий эксперт по мобильной безопасности F6

Как удалить вирус и защитить устройство

Из-за доступа к специальным возможностям троян защищает себя от удаления.

Если попытаться зайти в свойства программы, вирус с помощью службы специальных возможностей может автоматически имитировать нажатие кнопки «Назад» или закрыть настройки. В таких случаях нужно перезагрузить смартфон в безопасном режиме, где сторонний софт заблокирован, и удалить приложение.

Дмитрий Ермаков

Пошаговый план удаления

Если телефон заражен, выполните следующие действия:

  1. Перейдите в безопасный режим. Зажмите физическую кнопку питания смартфона. Когда на экране появится меню отключения, удерживайте палец на кнопке «Выключение» или «Перезагрузка», пока система не предложит загрузить безопасный режим (Safe Mode). После перезагрузки операционная система заблокирует запуск всех сторонних программ, включая вирус.
  2. Отзовите права администратора. Перейдите в «Настройки» → «Безопасность» → «Администраторы устройства». Если в списке активных администраторов есть неизвестная программа, отключите для нее этот статус.
  3. Удалите приложение. Зайдите в раздел настроек «Приложения», найдите вредоносную программу и нажмите «Удалить».
  4. Просканируйте систему. Запустите телефон в обычном режиме, установите мобильный антивирус и проведите полную проверку, чтобы стереть остаточные файлы трояна.

Если вирус внедрился в системные процессы и описанные шаги не помогли, выполните сброс настроек устройства до заводских (Hard Reset). Это полностью очистит память смартфона.

Перед сбросом сохраните важные контакты и личные медиафайлы.

Меры профилактики

Чтобы исключить повторное заражение, закройте технические уязвимости в настройках телефона:

Заблокируйте установку из неизвестных источников. В настройках безопасности смартфона найдите пункт «Установка неизвестных приложений». Запретите эту функцию для всех браузеров, мессенджеров и файловых менеджеров.

Не запускайте файлы .apk из чатов. Если знакомый присылает вам файл программы в мессенджере, сначала свяжитесь с ним по телефону и убедитесь, что его аккаунт не взломали.

Ответы на частые вопросы

Почему трояны заражают преимущественно бюджетные смартфоны?

По статистике компании UserGate, на устройства недорогих брендов приходится больше половины заражений в России.

Причина в том, что недорогие модели часто покупают детям или пожилым родственникам.

Они хуже знакомы с правилами цифровой гигиены, поэтому легче поддаются на уловки мошенников в мессенджерах.

А еще на дешевых смартфонах реже обновляются встроенные патчи безопасности Android.

Бренды часто распределяют ресурсы так: сначала закрывают уязвимости в флагманах и моделях среднего сегмента, а до самых дешевых линеек патчи доходят с большой задержкой или их там вообще нет.

Угрожает ли «Мамонт» владельцам техники на базе iOS?

Айфоны и другая техника лучше защищена от подобных атак из-за особенностей их операционной системы — iOS. Под нее сложно делать вредоносный софт.

Но за последний год как эксперты выявили минимум два пакета вредоносных инструментов (DarkSword и Coruna), которые хакеры используют как раз для заражения «яблочной» техники.

Apple уже выпустила обновления, закрывающие эти уязвимости. Поэтому просто регулярно обновляйте iOS. Дополнительно повышает безопасность режим Lockdown Mode: он закрывает многие векторы атак через браузер.

Безопасно ли просто скачать файл .apk, если не запускать установку?

Да, это безопасно. Сам по себе скачанный установочный файл — это заархивированный пакет данных. Пока вы не запустили установку и не дали приложению разрешения в системе, вредоносный код не может работать или похищать информацию.

Если вы случайно скачали подозрительный файл, просто сотрите его через встроенный проводник Android в папке «Загрузки».

Может ли «Мамонт» заразить другие телефоны через общую сеть Wi-Fi?

Нет. Мобильные трояны не умеют распространяться по локальной сети Wi-Fi самостоятельно. Для размножения вирус использует исключительно список контактов жертвы.

Получив доступ к телефонной книге, он начинает рассылать SMS со ссылкой на скачивание вредоносной программы по номерам ваших знакомых.

Чтобы заразиться, другие люди должны точно так же вручную скачать и установить файл.