Троян Mamont продолжает вести свою вредоносную деятельность, направленную на пользователей Android-смартфонов.

В ходе отслеживания активности семейств вредоносных программ для операционных систем Android эксперты отдела исследований киберугроз «Перспективного мониторинга» обнаружили вариацию вредоносного ПО Mamont с названием Фото(92).apk, датированную 2026 годом.

В ходе тщательного анализа этого образца была выявлена новая панель управления C&C — fensteadom[.]com.

Панель управления C&C
Панель управления C&C

Данный хост связан более чем со 100 другими вредоносными образцами семейства Mamont.

Основной функционал трояна остался по большей части неизменным:

  • Перехват SMS: приоритетный приёмник SMS с максимальным приоритетом, эксфильтрация содержимого SMS на C&C-сервер;

  • Сбор конфиденциальных данных: информация об устройстве, SIM-картах, установленных банковских приложениях, SMS-архиве;

  • Удалённое управление: получение команд с C&C-сервера, выполнение команд на отправку SMS;

  • Персистентность: запуск при загрузке системы, foreground service, самовосстановление, скрытие из списка недавних приложений;

  • Сокрытие трафика: использование SOCKS5-прокси для маскировки сетевой активности;

  • Динамическая конфигурация: возможность обновления параметров C&C с сервера.

В процессе анализа конфигурации C&C-сервера были определены следующие API endpoints:

  • POST /api/v2/sms — приём перехваченных SMS;

  • GET /api/v2/cmd/{device_id} — получение команд;

  • POST /api/v2/ping — телеметрия;

  • POST /api/v2/register — регистрация устройства;

  • GET /api/v2/retry — получение номера для SMS-подтверждения;

  • GET /api/cfg/{buildId} — загрузка конфигурации;

  • GET /api/sms_spam_message/{worker} — получение текста для спама.

Также был выполнен анализ передаваемых параметров:

Передаваемые на C&C-сервер параметры
Передаваемые на C&C-сервер параметры

На сервер злоумышленников поступает следующая информация о скомпрометированном устройстве:

  • Информация об устройстве: device_id, worker, chatId, device_model, android_version, app_name, build_type, team;

  • SIM-карты: номера телефонов, операторы, количество SIM;

  • SMS архив: SMS из базы данных;

  • Статус SMS-приложения по умолчанию: является ли приложение SMS-приложением по умолчанию;

  • Установленные банковские приложения: наличие популярных банковских приложений.

Коды сопоставления искомых банковских и иных приложений:

Маппинг искомых стилером приложений
Маппинг искомых стилером приложений

Также при анализе вредоносного кода APK-файла удалось узнать некоторую информацию о самих злоумышленниках:

  1. team: "erosteam" — название команды злоумышленников;

  2. worker: "@none_uk" — идентификатор конкретного оператора/разработчика;

  3. chat_id: "7933741247" — уникальный идентификатор Telegram-чата для управления.

При исследовании подозрительных Telegram-каналов удалось выявить другой образец того же семейства, который распространялся под видом архива с фото и видео ДТП. Пост выложен 27 января 2026 года.

Поддельный пост про ДТП
Поддельный пост про ДТП

C&C-панель, используемая в данном образце, такая же, как в первом — fensteadom[.]com. Однако здесь используется поддомен “truton”. Помимо этого, существует более 60 различных поддоменов, например, lizirteam, chuvaki, shpana. Пример авторизации на поддомене lizirteam:

Один из поддоменов C&C - lizirteam
Один из поддоменов C&C - lizirteam

При анализе образца 2 мы воспользовались тем же подходом, что и для первого, и обнаружили следующую информацию о злоумышленниках:

  1. team: "truton" — название команды злоумышленников;

  2. worker: "@MuertosLogs" — идентификатор конкретного оператора/разработчика;

  3. chat_id: "8281866599" — уникальный идентификатор Telegram-чата для управления;

  4. +79226308604 — номер телефона для повторных попыток отправки SMS-сообщений.

На основе полученной информации можно предположить, что названия поддоменов C&C-сервера являются названиями команд злоумышленников.

Также нам удалось узнать конфигурацию C&C-сервера и API-ключ авторизации одной из панелей управления (Fnr_10ef61d1c504f31bff645b2c07b93947a1c5b877).

Конфигурация C&C-сервера
Конфигурация C&C-сервера

Углубленный технический анализ

В образце «Фото(92).apk» используется пакет ru.ultra.utils7519 со следующими компонентами:

  • MainActivity;

  • SmsActivity;

  • SmsService;

  • CoreService;

  • BootstrapService;

  • RegistrationService;

  • SmsReceiver;

  • MmsReceiver;

  • BootReceiver;

  • AlarmReceiver;

  • RunnableC0742b;

  • C0741a;

  • C0737R.

Функционал ключевых классов:

  1. MainActivity:

    1. Пытается стать SMS-приложением по умолчанию;

    2. Если не является, запрашивает роль SMS (на Android 10+) или запускает intent для смены SMS-приложения по умолчанию;

    3. Использует WebView для загрузки URL, полученного из конфигурации;

    4. Запускает BootstrapService, CoreService, RegistrationService;

    5. Скрывает приложение из списка недавних.

  2. SmsReceiver (Эксфильтрация SMS):

    1. Формирует JSON с полями: device_id, sender, text, sim_slot;

    2. Отправляет POST запрос на URL: {panel_url}/api/v2/sms;

    3. Использует класс C0060e5.m121c() для выполнения HTTP-запроса;

    4. После отправки вызывает m873c() для запуска CoreService и отправки ping.

  3. CoreService:

    1. Foreground Service: создаёт постоянное уведомление, чтобы оставаться активным;

    2. Периодические задачи: запускает периодические задачи с задержками от 60 до 65 секунд;

    3. Отправка ping: регулярно отправляет ping на C&C-сервер с данными об устройстве;

    4. Проверка команд: опрашивает эндпоинт /api/v2/cmd/{device_id} на наличие команд от C&C;

    5. Выполнение команд: если команда содержит phone_number и sms_text, отправляет SMS с указанного SIM-слота;

    6. Управление WakeLock: удерживает WakeLock для предотвращения перехода устройства в спящий режим;

    7. Планировщик AlarmManager: устанавливает точные алармы для периодической активации;

    8. Самовосстановление: при уничтожении службы перезапускает себя через startForegroundService;

    9. Сокрытие: скрывает уведомление (без звука, вибрации, значков).

  4. BootstrapService (Загрузка начальной конфигурации с C&C-сервера):

    1. Делает GET запрос на эндпоинт /api/cfg/{buildId};

    2. Получает JSON с параметрами: api_key, panel_url, worker, chat_id, team, webview_url;

    3. Сохраняет полученные параметры через ConfigManager (C0741a);

    4. При успешном ответе запускает RegistrationService;

    5. При неудаче повторяет попытку до 5 раз с задержкой 3 секунды.

  5. RegistrationService — регистрация устройства на C&C-сервере и сбор подробной информации об устройстве. Сбор ранее описанных данных осуществляется именно этим классом.

Рекомендации

  • Не скачивайте и не устанавливайте файлы из неизвестных источников. Используйте только официальные магазины приложений (Google Play, Rustore, App Store).

  • Включите двухфакторную аутентификацию (2FA) в Telegram. Это добавит дополнительный уровень защиты вашего аккаунта.

  • Регулярно проверяйте активные сеансы в Telegram. Перейдите в настройки безопасности и убедитесь, что там только известные устройства и сессии.

  • Будьте осторожны с сообщениями от друзей и коллег. Даже если сообщение приходит от знакомого, не спешите открывать ссылки или файлы, если они выглядят необычно.

  • Используйте надёжные антивирусные решения. Они помогут в своевременном обнаружении и блокировке угроз.

  • Отключите автоскачивание файлов в чатах Telegram. Это снизит риск загрузки потенциально вредоносных файлов и защитит ваши данные.

Индикаторы компрометации (IoCs)

Хэши

Хэши описанных образцов ВПО:

Хэш

Описание

da7c5e17d6fd00eb22a1b657de37762c4fbe8b76411c000e8a3681f68af23ea6

Фото(92).apk

7667278ea51901f2a4206b6bd8f2cc55c8bb9df5

f6bef0cc059c94bf5468bb8fa70cbd38

52fd6b03880da2e2b388653a787971dfcc2be68ade2687d00f5a1ae55688bc09

ФОТО_ВИДЕО_ С_МЕСТА_ ПРОИСШЕТВИЯ_ АРХИВ.apk

3f329d6f61ebd596db5c8fecf23fe1085ec453ae

7f97248ad66a225330b7467eb31bb0e3

Хэши образцов ВПО, с которыми связан C&C-сервер:

MD5

cd02a599d703e159cece968c206750f3

b5e7297e7e40072a6ce6711f1cd5295c

bd0ac79183695e7ffd467b324a32b5f0

5e506529e7783f364fa9458b61f71827

8b6a7e877817572fe88f3cfec9424504

f2a45a51213136410f71946f3e7f5cd4

45bd4aa74927ec47035d0f2a7694f1a3

c9f3ebf278a51f04793c43ae44b64620

625a2dfd126586d9dfd40030b953317e

586ba31e54d0720a0f29564ae90ed697

6be758c9a88e01b4927a780c4e59fa4c

1cd7a0201a159b4075ae50add2b37d56

9c5f5b83ff651e6463cb039a8884b4bd

19d83175edc79bb16c8cb79753a9f019

7eed9ea967bb2f4e4c7f1410a77cdb33

e08670d12b827a3967872619d5b2dac2

7d53867fe1013ecff503d13171cc43cf

49f0d4d1ff20a5a9027f99a20d81b5f2

6e75fefe6b59a20da7f89d48fc520218

d7ec36882db324431c3955b75c620949

73c9bf8124fb4c263f7f72c826922739

251d1870ef7a5e3481f4fa57baecd55f

1b0658c565262d7ddfe973bc28cc91cf

9f472eb282a7016257c8bffc5d5af446

19324e526acc604ca2e183a74965eff5

744c0c6746af894b25472064eef53324

6bb9505cba8d70e0ad3849210fc631d9

69d186bbb14645e9236da5329c2e696a

2bbaf72d1dad9ced7d86d48cd0a4d1ef

8b16d8ceb8394d4b3ab6b47e58d10943

afe5fead5182f2a4a09f46a7b4cd288b

45da3e1c51cb7cc5eab0b55ca757d19e

09c3a0bff5ccae16afd2f827f1568e09

40fa5a82616db2d2e575ab2b96916601

b9558b3f87edb59c6e89c4c86b6fb85a

07d5fe428a21d76033d9672cad4dc1dd

0192f9ef8a12dd8bf25518ebc6b24675

c8ff32e638c9041ed773df8743af8b30

1a357622f3ce818b1f425fb8a56c24db

050e6b70851eba710acbfff5640b8d8c

fee898ef78f0dff77498fe217687a091

6e56c061e69c9048ce4661ab11be7259

f8ec1429e60cc413435c96f8fcf25e96

99ff4d5cb7a2ae34eeabfb49b27b79d3

06d5667952bb2d8cd444cdb25967a67e

8057c67d1ae2c4f42fed7124d3c28445

bd58bbc93261a4fcc89ecf986ec6b769

174c634061333dc702cee9df0e157978

e0a5042d2ebe3ab83e9379e67e22b4ee

05fa64653287e8d04b072e90caa7c720

0206ac3a156e535b42d4f88c1d1017e9

726f741f56f887d4d928bdd6dcffd8a3

864f3d30cc96aa1d26786381704edab5

fc8620049098696c9536cfa856cbf537

85c5442cb8de46b2e4f518077113c197

5501c77a6acde3444bb01f1419026999

c8874f99cfee56da28e5c7e5ba015010

fb4f084394177fb0b5f733b50c87e8c9

72d663d27ceb9390bcab5e3895ad00eb

79d887b9b45c667294dc6593cada881e

501e8446e24312d3bdd8b7b66cdedc8f

a5a09bed6e75610a69e06be024816e95

9281ae8f6062f6d2eb6b30431c3e3eb4

4a6d2f46a86c99b27fa82f55ab60a13b

2dd48df2ae1308f1cc688b6550d13ded

b6e9a9bd9752ab90b45e321477b93a5c

2cdbf500944ed5754fc03f7e9479d1a1

0999039be1e8dc06a3d2db2e01f6fe69

9e525b8a74abcec6d09b1b5b0f3c9aa9

6f50a6927036eb770b5e00f6f522eb44

8699972209a8478fde32768aa4dee57c

77252a1d364ff5a397c246366f99758a

1efd13cd293b10b47e9323b5867df0cb

42e2ded7bee534c15fdf1203bb244bd9

4a72347305dc95a6e39cc47ff3f95cbe

1103a3aeec07bca39b7a47290bea4771

59ef0533eb633d17476e69af6130efbd

5f6864377ae9b7a0baf8cde22a608c5e

29b3ace44ae97faf79831315d671ce3c

a2f017cd84b35df62a3ccda4dcf19d3f

fce834d85e13478a572121aca801303e

b005c4ea3f376d84d886ab227bf47cbd

8c4e512c9951267fdb8c72a87a3ae57b

c1b2deb34f1aebf34ccf64b4867bed80

50ad1d214378faa3c2a0041f9c7eed93

6ccd8ca1846a8c70dedbd73e71c67833

993cf8ec35370f92eb06472c7e5c31c4

12675ec37bdb029ec010aed8b6aabc28

cf5647d2e1fbf2d8a5e15b231fa30003

fd570529816b2a16af79f7a7d978a2e8

649fb9806e7654485c3f8aa74241f2d3

f7d6d6df98645842e5fa13e36b6c57a6

0757229a97b9d4d905689a931acbdfcb

afe2888308b624922e18a1238ddb5dd8

16f7161c0620c3fda3decf1246b826a8

6309fa27cc107535fd278d3a953b21df

40ae5e66ec85c73ef36fa5d859f16285

9734f7aae7ba0adcaf5140f34566780f

2a403081c8f14e4fd01e6920e85b7b80

835df538b1bea4ba8287db3182b5255b

Домены

fensteadom[.]com — панель управления C&C.

Поддомены:

c2c.fensteadom[.]com

fillin.fensteadom[.]com

z40.fensteadom[.]com

mryes.fensteadom[.]com

truton.fensteadom[.]com

chuvaki.fensteadom[.]com

mashonka.fensteadom[.]com

sxas.fensteadom[.]com

classica.fensteadom[.]com

mb.fensteadom[.]com

foma.fensteadom[.]com

cartel.fensteadom[.]com

platina.fensteadom[.]com

wg.fensteadom[.]com

tincock.fensteadom[.]com

nord.fensteadom[.]com

grand.fensteadom[.]com

tinkok.fensteadom[.]com

shpana.fensteadom[.]com

bulka.fensteadom[.]com

krygi.fensteadom[.]com

hellokitty.fensteadom[.]com

dewersity.fensteadom[.]com

fisher.fensteadom[.]com

skyteam.fensteadom[.]com

mmm.fensteadom[.]com

traffic.fensteadom[.]com

provinciya.fensteadom[.]com

wwteam.fensteadom[.]com

vnc.fensteadom[.]com

z4o.fensteadom[.]com

amigo.fensteadom[.]com

fingers.fensteadom[.]com

qts.fensteadom[.]com

card2card.fensteadom[.]com

jjteam.fensteadom[.]com

dex.fensteadom[.]com

www.fensteadom[.]com

test.fensteadom[.]com

anonymteam.fensteadom[.]com

erosteam.fensteadom[.]com

wcc.fensteadom[.]com

simpsonteam.fensteadom[.]com

moshenniki.fensteadom[.]com

dltteam.fensteadom[.]com

dragon.fensteadom[.]com

2x2.fensteadom[.]com

zhiguli.fensteadom[.]com

crazyteam.fensteadom[.]com

formula.fensteadom[.]com

sonatalamora.fensteadom[.]com

synvar.fensteadom[.]com

kds.fensteadom[.]com

pteam.fensteadom[.]com

neblteam.fensteadom[.]com

exzitkoteams.fensteadom[.]com

fokz.fensteadom[.]com

amiri.fensteadom[.]com

lizirteam.fensteadom[.]com

interium.fensteadom[.]com

mtteam.fensteadom[.]com

 

IP-адреса

45.38.134[.]71:63031

104.164.169[.]34:63805

104.164.198[.]150:63613

130.49.111[.]220:64411

136.234.162[.]205:64895

62.192.136[.]131:64765

136.234.222[.]138:64057

136.234.222[.]184:64057

136.234.160[.]34:64673

136.234.160[.]81:64673

136.234.158[.]103:64765

62.192.139[.]59:64973

153.80.171[.]40:64585

45.93.15[.]136:64787

109.196.172[.]130:63713

45.152.116[.]43:63393

46.150.252[.]123:64855

46.150.246[.]176:62525

85.142.0[.]219:63057

85.142.2[.]162:64113

85.142.47[.]241:64817

85.142.48[.]22:64061

85.142.131[.]150:64391

193.233.112[.]123

64.188.67[.]47