PROBIV.ONION PROBIV.SPACE PROBIV.RUN Наш Телеграм Светлый дизайн

Вредоносное ПО Mamont снова атакует РФ

vaspvort

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Migalki Club
Старожил
Меценат💎
Регистрация
10/4/18
Сообщения
7.062
Репутация
12.129
Реакции
19.059
USDT
0
Сделок через гаранта
18
Троян Mamont продолжает вести свою вредоносную деятельность, направленную на пользователей Android-смартфонов.

В ходе отслеживания активности семейств вредоносных программ для операционных систем Android эксперты отдела исследований киберугроз «Перспективного мониторинга» обнаружили вариацию вредоносного ПО Mamont с названием Фото(92).apk, датированную 2026 годом.

В ходе тщательного анализа этого образца была выявлена новая панель управления C&C — fensteadom[.]com.

Панель управления C&C

Панель управления C&C
Данный хост связан более чем со 100 другими вредоносными образцами семейства Mamont.

Основной функционал трояна остался по большей части неизменным:

  • Перехват SMS: приоритетный приёмник SMS с максимальным приоритетом, эксфильтрация содержимого SMS на C&C-сервер;
  • Сбор конфиденциальных данных: информация об устройстве, SIM-картах, установленных банковских приложениях, SMS-архиве;
  • Удалённое управление: получение команд с C&C-сервера, выполнение команд на отправку SMS;
  • Персистентность: запуск при загрузке системы, foreground service, самовосстановление, скрытие из списка недавних приложений;
  • Сокрытие трафика: использование SOCKS5-прокси для маскировки сетевой активности;
  • Динамическая конфигурация: возможность обновления параметров C&C с сервера.
В процессе анализа конфигурации C&C-сервера были определены следующие API endpoints:

  • POST /api/v2/sms — приём перехваченных SMS;
  • GET /api/v2/cmd/{device_id} — получение команд;
  • POST /api/v2/ping — телеметрия;
  • POST /api/v2/register — регистрация устройства;
  • GET /api/v2/retry — получение номера для SMS-подтверждения;
  • GET /api/cfg/{buildId} — загрузка конфигурации;
  • GET /api/sms_spam_message/{worker} — получение текста для спама.
Также был выполнен анализ передаваемых параметров:

Передаваемые на C&C-сервер параметры

Передаваемые на C&C-сервер параметры
На сервер злоумышленников поступает следующая информация о скомпрометированном устройстве:

  • Информация об устройстве: device_id, worker, chatId, device_model, android_version, app_name, build_type, team;
  • SIM-карты: номера телефонов, операторы, количество SIM;
  • SMS архив: SMS из базы данных;
  • Статус SMS-приложения по умолчанию: является ли приложение SMS-приложением по умолчанию;
  • Установленные банковские приложения: наличие популярных банковских приложений.
Коды сопоставления искомых банковских и иных приложений:

Маппинг искомых стилером приложений

Маппинг искомых стилером приложений
Также при анализе вредоносного кода APK-файла удалось узнать некоторую информацию о самих злоумышленниках:

  1. team: "erosteam" — название команды злоумышленников;
  2. worker: "@none_uk" — идентификатор конкретного оператора/разработчика;
  3. chat_id: "7933741247" — уникальный идентификатор Telegram-чата для управления.
При исследовании подозрительных Telegram-каналов удалось выявить другой образец того же семейства, который распространялся под видом архива с фото и видео ДТП. Пост выложен 27 января 2026 года.

Поддельный пост про ДТП

Поддельный пост про ДТП
C&C-панель, используемая в данном образце, такая же, как в первом — fensteadom[.]com. Однако здесь используется поддомен “truton”. Помимо этого, существует более 60 различных поддоменов, например, lizirteam, chuvaki, shpana. Пример авторизации на поддомене lizirteam:

Один из поддоменов C&C - lizirteam

Один из поддоменов C&C - lizirteam
При анализе образца 2 мы воспользовались тем же подходом, что и для первого, и обнаружили следующую информацию о злоумышленниках:

  1. team: "truton" — название команды злоумышленников;
  2. worker: "@MuertosLogs" — идентификатор конкретного оператора/разработчика;
  3. chat_id: "8281866599" — уникальный идентификатор Telegram-чата для управления;
  4. +79226308604 — номер телефона для повторных попыток отправки SMS-сообщений.
На основе полученной информации можно предположить, что названия поддоменов C&C-сервера являются названиями команд злоумышленников.

Также нам удалось узнать конфигурацию C&C-сервера и API-ключ авторизации одной из панелей управления (Fnr_10ef61d1c504f31bff645b2c07b93947a1c5b877).

Конфигурация C&C-сервера

Конфигурация C&C-сервера
Углубленный технический анализ

В образце «Фото(92).apk» используется пакет ru.ultra.utils7519 со следующими компонентами:

  • MainActivity;
  • SmsActivity;
  • SmsService;
  • CoreService;
  • BootstrapService;
  • RegistrationService;
  • SmsReceiver;
  • MmsReceiver;
  • BootReceiver;
  • AlarmReceiver;
  • RunnableC0742b;
  • C0741a;
  • C0737R.
Функционал ключевых классов:

  1. MainActivity:
    1. Пытается стать SMS-приложением по умолчанию;
    2. Если не является, запрашивает роль SMS (на Android 10+) или запускает intent для смены SMS-приложения по умолчанию;
    3. Использует WebView для загрузки URL, полученного из конфигурации;
    4. Запускает BootstrapService, CoreService, RegistrationService;
    5. Скрывает приложение из списка недавних.
  2. SmsReceiver(Эксфильтрация SMS):
    1. Формирует JSON с полями: device_id, sender, text, sim_slot;
    2. Отправляет POST запрос на URL: {panel_url}/api/v2/sms;
    3. Использует класс C0060e5.m121c() для выполнения HTTP-запроса;
    4. После отправки вызывает m873c() для запуска CoreService и отправки ping.
  3. CoreService:
    1. Foreground Service: создаёт постоянное уведомление, чтобы оставаться активным;
    2. Периодические задачи: запускает периодические задачи с задержками от 60 до 65 секунд;
    3. Отправка ping: регулярно отправляет ping на C&C-сервер с данными об устройстве;
    4. Проверка команд: опрашивает эндпоинт /api/v2/cmd/{device_id} на наличие команд от C&C;
    5. Выполнение команд: если команда содержит phone_number и sms_text, отправляет SMS с указанного SIM-слота;
    6. Управление WakeLock: удерживает WakeLock для предотвращения перехода устройства в спящий режим;
    7. Планировщик AlarmManager: устанавливает точные алармы для периодической активации;
    8. Самовосстановление: при уничтожении службы перезапускает себя через startForegroundService;
    9. Сокрытие: скрывает уведомление (без звука, вибрации, значков).
  4. BootstrapService (Загрузка начальной конфигурации с C&C-сервера):
    1. Делает GET запрос на эндпоинт /api/cfg/{buildId};
    2. Получает JSON с параметрами: api_key, panel_url, worker, chat_id, team, webview_url;
    3. Сохраняет полученные параметры через ConfigManager (C0741a);
    4. При успешном ответе запускает RegistrationService;
    5. При неудаче повторяет попытку до 5 раз с задержкой 3 секунды.
  5. RegistrationService — регистрация устройства на C&C-сервере и сбор подробной информации об устройстве. Сбор ранее описанных данных осуществляется именно этим классом.

Рекомендации​

  • Не скачивайте и не устанавливайте файлы из неизвестных источников. Используйте только официальные магазины приложений (Google Play, Rustore, App Store).
  • Включите двухфакторную аутентификацию (2FA) в Telegram. Это добавит дополнительный уровень защиты вашего аккаунта.
  • Регулярно проверяйте активные сеансы в Telegram. Перейдите в настройки безопасности и убедитесь, что там только известные устройства и сессии.
  • Будьте осторожны с сообщениями от друзей и коллег. Даже если сообщение приходит от знакомого, не спешите открывать ссылки или файлы, если они выглядят необычно.
  • Используйте надёжные антивирусные решения. Они помогут в своевременном обнаружении и блокировке угроз.
  • Отключите автоскачивание файлов в чатах Telegram. Это снизит риск загрузки потенциально вредоносных файлов и защитит ваши данные.

Индикаторы компрометации (IoCs)​

Хэши​

Хэши описанных образцов ВПО:

Хэш​
Описание​
da7c5e17d6fd00eb22a1b657de37762c4fbe8b76411c000e8a3681f68af23ea6​
Фото(92).apk​
7667278ea51901f2a4206b6bd8f2cc55c8bb9df5​
f6bef0cc059c94bf5468bb8fa70cbd38​
52fd6b03880da2e2b388653a787971dfcc2be68ade2687d00f5a1ae55688bc09​
ФОТОВИДЕО СМЕСТА ПРОИСШЕТВИЯ_ АРХИВ.apk​
3f329d6f61ebd596db5c8fecf23fe1085ec453ae​
7f97248ad66a225330b7467eb31bb0e3​
Хэши образцов ВПО, с которыми связан C&C-сервер:

MD5​
cd02a599d703e159cece968c206750f3​
b5e7297e7e40072a6ce6711f1cd5295c​
bd0ac79183695e7ffd467b324a32b5f0​
5e506529e7783f364fa9458b61f71827​
8b6a7e877817572fe88f3cfec9424504​
f2a45a51213136410f71946f3e7f5cd4​
45bd4aa74927ec47035d0f2a7694f1a3​
c9f3ebf278a51f04793c43ae44b64620​
625a2dfd126586d9dfd40030b953317e​
586ba31e54d0720a0f29564ae90ed697​
6be758c9a88e01b4927a780c4e59fa4c​
1cd7a0201a159b4075ae50add2b37d56​
9c5f5b83ff651e6463cb039a8884b4bd​
19d83175edc79bb16c8cb79753a9f019​
7eed9ea967bb2f4e4c7f1410a77cdb33​
e08670d12b827a3967872619d5b2dac2​
7d53867fe1013ecff503d13171cc43cf​
49f0d4d1ff20a5a9027f99a20d81b5f2​
6e75fefe6b59a20da7f89d48fc520218​
d7ec36882db324431c3955b75c620949​
73c9bf8124fb4c263f7f72c826922739​
251d1870ef7a5e3481f4fa57baecd55f​
1b0658c565262d7ddfe973bc28cc91cf​
9f472eb282a7016257c8bffc5d5af446​
19324e526acc604ca2e183a74965eff5​
744c0c6746af894b25472064eef53324​
6bb9505cba8d70e0ad3849210fc631d9​
69d186bbb14645e9236da5329c2e696a​
2bbaf72d1dad9ced7d86d48cd0a4d1ef​
8b16d8ceb8394d4b3ab6b47e58d10943​
afe5fead5182f2a4a09f46a7b4cd288b​
45da3e1c51cb7cc5eab0b55ca757d19e​
09c3a0bff5ccae16afd2f827f1568e09​
40fa5a82616db2d2e575ab2b96916601​
b9558b3f87edb59c6e89c4c86b6fb85a​
07d5fe428a21d76033d9672cad4dc1dd​
0192f9ef8a12dd8bf25518ebc6b24675​
c8ff32e638c9041ed773df8743af8b30​
1a357622f3ce818b1f425fb8a56c24db​
050e6b70851eba710acbfff5640b8d8c​
fee898ef78f0dff77498fe217687a091​
6e56c061e69c9048ce4661ab11be7259​
f8ec1429e60cc413435c96f8fcf25e96​
99ff4d5cb7a2ae34eeabfb49b27b79d3​
06d5667952bb2d8cd444cdb25967a67e​
8057c67d1ae2c4f42fed7124d3c28445​
bd58bbc93261a4fcc89ecf986ec6b769​
174c634061333dc702cee9df0e157978​
e0a5042d2ebe3ab83e9379e67e22b4ee​
05fa64653287e8d04b072e90caa7c720​
0206ac3a156e535b42d4f88c1d1017e9​
726f741f56f887d4d928bdd6dcffd8a3​
864f3d30cc96aa1d26786381704edab5​
fc8620049098696c9536cfa856cbf537​
85c5442cb8de46b2e4f518077113c197​
5501c77a6acde3444bb01f1419026999​
c8874f99cfee56da28e5c7e5ba015010​
fb4f084394177fb0b5f733b50c87e8c9​
72d663d27ceb9390bcab5e3895ad00eb​
79d887b9b45c667294dc6593cada881e​
501e8446e24312d3bdd8b7b66cdedc8f​
a5a09bed6e75610a69e06be024816e95​
9281ae8f6062f6d2eb6b30431c3e3eb4​
4a6d2f46a86c99b27fa82f55ab60a13b​
2dd48df2ae1308f1cc688b6550d13ded​
b6e9a9bd9752ab90b45e321477b93a5c​
2cdbf500944ed5754fc03f7e9479d1a1​
0999039be1e8dc06a3d2db2e01f6fe69​
9e525b8a74abcec6d09b1b5b0f3c9aa9​
6f50a6927036eb770b5e00f6f522eb44​
8699972209a8478fde32768aa4dee57c​
77252a1d364ff5a397c246366f99758a​
1efd13cd293b10b47e9323b5867df0cb​
42e2ded7bee534c15fdf1203bb244bd9​
4a72347305dc95a6e39cc47ff3f95cbe​
1103a3aeec07bca39b7a47290bea4771​
59ef0533eb633d17476e69af6130efbd​
5f6864377ae9b7a0baf8cde22a608c5e​
29b3ace44ae97faf79831315d671ce3c​
a2f017cd84b35df62a3ccda4dcf19d3f​
fce834d85e13478a572121aca801303e​
b005c4ea3f376d84d886ab227bf47cbd​
8c4e512c9951267fdb8c72a87a3ae57b​
c1b2deb34f1aebf34ccf64b4867bed80​
50ad1d214378faa3c2a0041f9c7eed93​
6ccd8ca1846a8c70dedbd73e71c67833​
993cf8ec35370f92eb06472c7e5c31c4​
12675ec37bdb029ec010aed8b6aabc28​
cf5647d2e1fbf2d8a5e15b231fa30003​
fd570529816b2a16af79f7a7d978a2e8​
649fb9806e7654485c3f8aa74241f2d3​
f7d6d6df98645842e5fa13e36b6c57a6​
0757229a97b9d4d905689a931acbdfcb​
afe2888308b624922e18a1238ddb5dd8​
16f7161c0620c3fda3decf1246b826a8​
6309fa27cc107535fd278d3a953b21df​
40ae5e66ec85c73ef36fa5d859f16285​
9734f7aae7ba0adcaf5140f34566780f​
2a403081c8f14e4fd01e6920e85b7b80​
835df538b1bea4ba8287db3182b5255b​

Домены​

fensteadom[.]com — панель управления C&C.

Поддомены:

c2c.fensteadom[.]com​
fillin.fensteadom[.]com​
z40.fensteadom[.]com​
mryes.fensteadom[.]com​
truton.fensteadom[.]com​
chuvaki.fensteadom[.]com​
mashonka.fensteadom[.]com​
sxas.fensteadom[.]com​
classica.fensteadom[.]com​
mb.fensteadom[.]com​
foma.fensteadom[.]com​
cartel.fensteadom[.]com​
platina.fensteadom[.]com​
wg.fensteadom[.]com​
tincock.fensteadom[.]com​
nord.fensteadom[.]com​
grand.fensteadom[.]com​
tinkok.fensteadom[.]com​
shpana.fensteadom[.]com​
bulka.fensteadom[.]com​
krygi.fensteadom[.]com​
hellokitty.fensteadom[.]com​
dewersity.fensteadom[.]com​
fisher.fensteadom[.]com​
skyteam.fensteadom[.]com​
mmm.fensteadom[.]com​
traffic.fensteadom[.]com​
provinciya.fensteadom[.]com​
wwteam.fensteadom[.]com​
vnc.fensteadom[.]com​
z4o.fensteadom[.]com​
amigo.fensteadom[.]com​
fingers.fensteadom[.]com​
qts.fensteadom[.]com​
card2card.fensteadom[.]com​
jjteam.fensteadom[.]com​
dex.fensteadom[.]com​
www.fensteadom[.]com​
test.fensteadom[.]com​
anonymteam.fensteadom[.]com​
erosteam.fensteadom[.]com​
wcc.fensteadom[.]com​
simpsonteam.fensteadom[.]com​
moshenniki.fensteadom[.]com​
dltteam.fensteadom[.]com​
dragon.fensteadom[.]com​
2x2.fensteadom[.]com​
zhiguli.fensteadom[.]com​
crazyteam.fensteadom[.]com​
formula.fensteadom[.]com​
sonatalamora.fensteadom[.]com​
synvar.fensteadom[.]com​
kds.fensteadom[.]com​
pteam.fensteadom[.]com​
neblteam.fensteadom[.]com​
exzitkoteams.fensteadom[.]com​
fokz.fensteadom[.]com​
amiri.fensteadom[.]com​
lizirteam.fensteadom[.]com​
interium.fensteadom[.]com​
mtteam.fensteadom[.]com​

IP-адреса​

45.38.134[.]71:63031​
104.164.169[.]34:63805​
104.164.198[.]150:63613​
130.49.111[.]220:64411​
136.234.162[.]205:64895​
62.192.136[.]131:64765​
136.234.222[.]138:64057​
136.234.222[.]184:64057​
136.234.160[.]34:64673​
136.234.160[.]81:64673​
136.234.158[.]103:64765​
62.192.139[.]59:64973​
153.80.171[.]40:64585​
45.93.15[.]136:64787​
109.196.172[.]130:63713​
45.152.116[.]43:63393​
46.150.252[.]123:64855​
46.150.246[.]176:62525​
85.142.0[.]219:63057​
85.142.2[.]162:64113​
85.142.47[.]241:64817​
85.142.48[.]22:64061​
85.142.131[.]150:64391​
193.233.112[.]123​
64.188.67[.]47​

Для просмотра ссылки необходимо нажать Вход или Регистрация
 
Заявка в гарант Проекты в телеграмм Harper в телеграмм Статусы пользователей
Войдите или зарегистрируйтесь для ответа.

Похожие темы

vaspvort
Статья Продам всё, что на фото. Недорого
Ответы
0
Просмотры
323
vaspvort
vaspvort
vaspvort
«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации
Ответы
0
Просмотры
334
vaspvort
vaspvort
BOOX
Новый банковский троянец Frogblight запугивает турецких пользователей Android судом
Ответы
0
Просмотры
100
BOOX
BOOX
BOOX
Невидимая угроза: как современное Spyware эксплуатирует наше доверие
Ответы
0
Просмотры
75
BOOX
BOOX
Собака
Новости Антивирус с гербом РФ оказался шпионом
Ответы
0
Просмотры
314
Собака
Собака
  • Теги
    android telegram вредоносное по
    • Назад
    Сверху Снизу