❗️«Это ты что ли?» — Нет, это вирус!

Троян Mamont в Telegram продолжает набирать популярность среди киберпреступников. Злоумышленники рассылают вредоносные файлы в формате ".apk" с помощью мессенджеров, маскируя их под фото-/видео-файлы и сопровождая сообщением вроде "Это ты на фото/видео?".

После просмотра фотографии установки вредоносного файла у пользователя запрашиваются разрешения на:
🟠 доступ к сети,
🟠 чтение, перехват, отправку SMS-сообщений и прочих уведомлений,
🟠 доступ к контактам и истории телефонных вызовов.

Для загрузки дополнительных модулей ПО обращается к ресурсам по протоколам HTTP и HTTPS, а для связи с С&C сервером — WebSocket
Это позволяет злоумышленникам перехватывать платежные данные и доступ к платежным системам.

Помимо IoCs, которые обнаружили коллеги из PTESC, делимся найденными в нашем кейсе.

Сетевые индикаторы:

ws[://]1.mamontvirus[.]net:8888/ws
176.65.134[.]48
176.65.142[.]217

Хостовые индикаторы:

136f2c4e5eded2b05fcd427fa453b145
23f550cd9989e55f38a98a2cb8ad428329c4c11b
1b4016a5b68a9be9f46dd106465bc6797dbb8df38f09bfbbe7fb8ecf5b1aba27

Троян также может автоматически пересылать зараженные файлы всем контактам в Telegram, распространяя вредоносную программу среди большого числа пользователей.

По статистическим данным в России было скомпрометировано более 100 тысяч Android-устройств с помощью вредоносных программ с подобным функционалом, основной целью которых является кража данных банковских карт.

Рекомендации:

🟠 Не скачивайте и не устанавливайте файлы из неизвестных источников. Используйте только официальные магазины приложений (Google Play, Rustore, App Store).

🟠 Включите двухфакторную аутентификацию (2FA) в Telegram. Это добавит дополнительный уровень защиты вашего аккаунта.

🟠 Регулярно проверяйте активные сеансы в Telegram. Перейдите в настройки безопасности и убедитесь, что там только известные устройства и сессии.

🟠 Будьте осторожны с сообщениями от друзей и коллег. Даже если сообщение приходит от знакомого, не спешите открывать ссылки или файлы, если они выглядят необычно.

🟠 Используйте надежные антивирусные решения. Они помогут в своевременном обнаружении и блокировке угроз.

🟠 Отключите автоскачивание файлов в чатах Telegram. Это снизит риск загрузки потенциально вредоносных файлов и защитит ваши данные.

#AM_Rules