A mobiltelefonokat célzó kibertámadások egyre gyakoribbak és ezzel párhuzamosan egyre kifinomultabb módszereket alkalmaznak a támadók. Ritkán kerül azonban napvilágra olyan hatósági fellépés, mint amilyenre március végén került sor Oroszországban: a Belügyminisztérium közleménye szerint három személyt tartóztattak le a Szaratovi területen, akiket a Mamont nevű Android banki trójai létrehozásával és működtetésével gyanúsítanak. A hatóságok szerint a malware több mint 300 kibercselekménnyel hozható összefüggésbe, melyek során jelentős pénzügyi károk érték az áldozatokat.

A Mamont kampány nem csupán technikai szempontból figyelemre méltó, hanem a megtévesztés kifinomultsága és a terjesztési módszerek kreativitása miatt is. A támadók gyakran valós csomagkövető alkalmazásnak, sőt, videófájloknak álcázták a kártékony szoftvert – miközben a háttérben teljes hozzáférést szereztek a fertőzött eszközökhöz és pénzügyi tranzakciókat hajtottak végre az áldozatok nevében.

A mostani letartóztatások mérföldkőnek számítanak, de egyúttal rávilágítanak arra is, milyen gyorsan fejlődnek a mobilos csalási technikák és mennyire fontos a felhasználók ébersége – nemcsak Oroszországban, hanem világszerte.

A Mamont malware háttere és működése

A Mamont egy Android platformra fejlesztett banki trójai, amelyet legalább 2023 tavaszától kezdődően vetettek be. A malware egyik meghatározó jellemzője, hogy nem önállóan terjedt – vagyis nem képes magától más eszközökre átjutni –, hanem megtévesztő, felhasználó által telepített alkalmazásokba rejtve jutott el az áldozatok készülékeire. Az appok gyakran csomagkövető alkalmazásnak vagy videófájlnak álcázták magukat és olyan kontextusban kerültek a felhasználók elé, amely növelte a letöltési hajlandóságot. Jellemző forgatókönyv volt, hogy a felhasználó egy hamis webáruházban adott le rendelést, majd egy „csomagkövető alkalmazást” kapott, amely valójában a Mamont trójait tartalmazta.

Terjesztés és álcázás

A támadók célzottan építettek az online vásárlási szokásokra és a bizalomra: az álcázott alkalmazás vizuálisan meggyőző felületet mutatott, amely szimulálta a rendelésállapot megjelenítését. A letöltés APK-fájlként történt, tehát nem hivatalos alkalmazásboltból származott – a felhasználónak kézzel kellett telepítenie, ezzel megkerülve az alapértelmezett biztonsági korlátokat.

Jogosultságok és működés

A telepítés után a Mamont széles körű jogosultságokat kért:

• SMS-ek olvasása és küldése

• Bejövő hívások kezelése

• Push értesítések elérése

• Overlay funkciók (más appok feletti megjelenítés)

• Accessibility Service – külön engedéllyel történő automatikus vezérlés

Ezek segítségével a trójai képes volt:

• Elfogni az SMS-ben érkező egyedi azonosítókódokat, például kétfaktoros hitelesítésekhez.

• Értesítéseket – például banki tranzakciókról – valós időben továbbítani egy Telegram-botnak.

• Utasításokat fogadni és végrehajtani, például pénzátutalásokat kezdeményezni a háttérben.

• Elrejteni tevékenységét a felhasználó elől, ezzel megnehezítve a detektálást.

• Védekezni a biztonsági appok észlelése ellen – például eltávolítás elleni védelemmel.

Távvezérlés és célzás

A Mamontot a támadók egy Telegram csatornán keresztül vezérelték. A fertőzött készülékek adatokat küldtek a csatornába – beleértve a készülék információit, beérkező üzeneteket, tranzakciós adatokat –, miközben a támadók a háttérből irányították a tevékenységet.

A malware moduláris felépítésű volt, így könnyen testreszabható volt különböző célországokra vagy banki alkalmazásokra.

A malware egyes változatai kimondottan orosz és kazah banki appokhoz készültek és az áldozatok átverésére gyakran használták az „Ez te vagy a videón?” típusú social engineering manipulációs sablonokat is, hogy a felhasználó maga indítsa el a fertőzést.

A letartóztatások részletei

2025 márciusának végén az orosz Belügyminisztérium bejelentette, hogy három férfit vettek őrizetbe a Szaratovi területen, akiket a Mamont malware fejlesztésével és működtetésével gyanúsítanak. A hatóságok szerint a gyanúsítottak legalább 300 olyan kiberbűncselekményhez köthetők, amelyek során jelentős összegeket loptak el az áldozatok bankszámláiról.

A razzia során a nyomozók több számítógépet, mobil eszközt, SIM-kártyát, bankkártyát és adattároló eszközt foglaltak le. A lefoglalt eszközök között szerepeltek olyan telefonok is, amelyekről a Telegram-fiókokat kezelték – valószínűleg ezek szolgáltak a malware távoli irányítására.

A Belügyminisztérium közleménye szerint az elkövetők hamis online áruházakat üzemeltettek, ahol népszerű termékeket kínáltak vonzó áron. A vásárlók adatait megszerezték, majd egy linket küldtek nekik egy állítólagos rendeléskövető alkalmazáshoz – ez volt valójában a Mamont trójai. Ugyanakkor a hatóságok kiemelték, hogy ez csak az egyik formája volt a támadók által alkalmazott social engineering technikáknak, a későbbiekben ugyanis más, hasonló megtévesztésre épülő módszereket is bevetettek a bűnözők.

A malware bejutása után a támadók képesek voltak belépni az áldozatok mobilbanki fiókjaiba és pénzt utalni saját bankszámlákra vagy a közvetítők révén kiépített pénzmosási hálózatokon keresztül fenntartott bankszámlákra.

Az ügyben bűnszervezet keretében elkövetett csalás és jogosulatlan hozzáférés bűntettének gyanújával indult eljárás.

A támadók módszerei és az áldozatok megtévesztése

A Mamont kampány egyik legsikeresebb eleme a megtévesztés technikáinak kifinomultsága volt.

A támadók nem csupán technikai sebezhetőségeket használtak ki, hanem pszichológiai manipulációval vették rá az áldozatokat arra, hogy saját kezűleg telepítsék a kártékony szoftvert.

Hamis webáruházak és „csomagkövető appok”

Az egyik legelterjedtebb módszer a hamis webáruházak létrehozása volt. Ezek a portálok valós termékeket kínáltak – például elektronikai eszközöket vagy divatcikkeket – meglepően alacsony áron.

A vásárlási folyamat során az áldozat megadta adatait és elindított egy rendelést. Ezt követően a támadók egy linket küldtek neki egy „csomagkövető alkalmazás” letöltéséhez, amely valójában a Mamont malware-t tartalmazta.

A támadók úgy időzítették az üzeneteket, hogy azok a vásárlás után érkezzenek – ezzel fokozva a hitelességet és az áldozat bizalmát. Az alkalmazás telepítését az Android rendszer is engedte, mivel az áldozat maga indította a letöltést.

Videófájlnak álcázott csali

Egy másik elterjedt trükk volt a videófájlnak álcázott malware terjesztése.

Az áldozatok egy olyan linket kaptak, amelyhez egy rövid üzenet társult: „Ez te vagy a videón?” vagy „Nézd csak, mit találtam rólad!” Az üzenet célja az volt, hogy érzelmi reakciót váltsanak ki – kíváncsiságot, pánikot vagy szégyent –, amivel rávegyék a címzettet a kattintásra.

A letöltött fájl ismételten egy Mamont-variánst tartalmazó alkalmazás volt, amely aktiválása után azonnal megkezdte a háttérben történő adatgyűjtést és vezérlésbekapcsolást.

Social engineering és kontextusra építő csapdák

A kampány sikere nagyrészt azon múlt, hogy a támadók pontosan ismerték célközönségük szokásait.

A csomagküldős álcák a karácsonyi szezonban, az „Ez te vagy?” videók pedig közösségi média aktivitási csúcsidőszakokban terjedtek.

Ez a kontextusra építő manipuláció tette különösen hatékonnyá a támadásokat: az áldozatok többsége nem biztonsági hibák, hanem megtévesztés áldozata lett.

A Mamont séma további alkalmazási formái

A Mamont trójai terjesztése nem korlátozódott kizárólag csomagkövető alkalmazásokra vagy videófájloknak álcázott linkekre. Az orosz hatóságok beszámolói alapján a támadók folyamatosan igazították a módszereiket az aktuális csalási trendekhez és célcsoportokhoz – különösen a social engineering eszköztár bővítése volt látványos.

Ingatlanhirdetési csalások

A támadók olyan lakástulajdonosokat céloztak, akik online hirdetési oldalakon adtak fel bérleti ajánlatokat. A csalók bérlőként léptek kapcsolatba velük, majd egy szerződés aláírására vagy előleg kifizetésére hivatkozva küldtek egy linket, amely valójában a Mamont malware-t tartalmazta. A link gyakran egy PDF-fájlra vagy egy „dokumentum-hitelesítő” alkalmazásra hivatkozott, melyek - természetesen - fertőzöttek voltak

Banki adathalászat közép-ázsiai irányból

További módszerként a Mamont operátorai hamis banki weboldalakat hoztak létre, amelyek a FÁK-térség egyes országainak – például Kazahsztán, Üzbegisztán vagy Örményország – pénzintézeteinek arculatát másolták. Az áldozatok ezekre az oldalakra irányítva adták meg személyes és pénzügyi adataikat, vagy töltötték le az „ügyfélazonosító alkalmazást”, amely valójában a Mamont trójai volt.

„Antikino”: romantikus manipuláció

Egy különösen kifinomult social engineering változatot az orosz hatóságok „Antikino” (anti-mozizás) néven említettek. A támadók ismerkedési platformokon léptek kapcsolatba férfiakkal, nőnek kiadva magukat. A rövid beszélgetés után azt állították, hogy színházjegyet vettek és elküldtek egy linket az „online jegyhez” – amely természetesen a malware letöltését eredményezte.

Nemzetközi dimenziók és gazdasági kár

A Mamont malware kampány súlyosságát nemcsak az alkalmazott módszerek kifinomultsága, hanem a támadások földrajzi kiterjedése és pénzügyi következményei is alátámasztják. Az orosz hatóságok szerint a “Mamont-sémát” nemcsak Oroszországban, hanem a Független Államok Közössége (FÁK) több országában is bevetették – különösen Kazahsztánban, Üzbegisztánban és Örményországban. Az elkövetők rendszeresen hamisították ezeknek az országoknak a banki felületeit, és többnyelvű adathalász kampányokat is futtattak.

A becslések szerint a Mamont-variánsokat alkalmazó csalások csak 2023 júliusa és 2024 júniusa között több mint 1,2 milliárd rubel (több mint 13 millió dollár) kárt okoztak. Az összesített pénzügyi kár a kampány kezdete óta meghaladta a 8,6 milliárd rubelt. A támadások mögött egy több mint 20 ezer főt számláló kiberbűnözői infrastruktúra állt, amely különféle szerepkörökre tagolódott: fejlesztők, terjesztők, pénzmosásban résztvevő közvetítők és technikai támogató személyek.

A számok nemcsak a támadások volumenét, hanem a Mamont kampány professzionalizmusát és üzemszerűségét is jelzik – és rávilágítanak arra, hogy a mobilos social engineering nem csupán egyéni felhasználókra, hanem teljes pénzügyi rendszerekre jelenthet fenyegetést.

Jogszabályi lépések és válaszlépések

A Mamont-ügy nemcsak a bűnüldözés, hanem a törvényhozás szintjén is visszhangot keltett Oroszországban. Az orosz Állami Duma (parlament) február végén – még a letartóztatások előtt – bejelentette, hogy egy új törvénytervezetet készít elő, amely célzottan az SMS-alapú kibercsalások visszaszorítását célozza.

A javaslat egyik kulcseleme, hogy megtiltaná az SMS-üzenetek küldését telefonhívás közben. A döntés hátterében az áll, hogy a támadók gyakran telefonon hívják fel áldozataikat – például banki alkalmazottnak, futárszolgálatnak vagy rendőrségi nyomozónak kiadva magukat –, majd a beszélgetés közben manipulálják őket arra, hogy megerősítő SMS-kódokat olvassanak be vagy alkalmazásokat telepítsenek.

A kezdeményezés célja, hogy technikailag megnehezítse az ilyen típusú manipulációt: ha hívás közben nem lehet SMS-t küldeni vagy fogadni, az csökkentheti a támadók esélyeit a valós idejű visszaélésre.

Az orosz kiberbiztonsági közösség vegyesen fogadta az ötletet. Egyes szakértők szerint az intézkedés nem kezeli az alapproblémát – vagyis a társadalmi manipuláció sikerességét és az operációs rendszer sebezhetőségeit. Mások viszont üdvözölték, mondván, minden technikai akadály, amely lassítja a támadók folyamatát, nyereség lehet a védekezés szempontjából.

Mindez rámutat arra, hogy a kiberbűnözés elleni küzdelem nem csak rendőrségi kérdés: jogszabályi, technológiai és edukációs eszközökre is szükség van ahhoz, hogy hatékonyan válaszoljunk az ilyen típusú, komplex fenyegetésekre.

Védekezési lehetőségek és jógyakorlatok

A Mamont-eset több szempontból is tanulságos – nemcsak a technikai megvalósítás szintjén, hanem abban is, hogy hogyan lehet sikeresen rászedni a felhasználókat a saját eszközeik kompromittálására. Bár a támadók módszerei kifinomultak voltak, a védekezéshez nem feltétlenül van szükség bonyolult eszközökre – inkább tudatosságra és alapvető kiberhigiéniai szabályok betartására.

• Ne telepítsünk alkalmazást külső forrásból

  Az Android rendszer lehetőséget ad külső forrásból származó APK-fájlok telepítésére, de ez az egyik legnagyobb biztonsági kockázat. A Mamont kampányban minden fertőzés ilyen módon történt. Ha egy alkalmazás nem a Google Play áruházból származik, azt kezeljük alapértelmezett gyanúval.

• Gyanús link? Ne kattintsunk rá

  Legyen szó „csomagkövetésről” vagy „videóról, amin te szerepelsz” – ha egy ismeretlen vagy váratlan üzenetben kapunk linket, mindig kérdőjelezzük meg annak valódiságát. Ha lehet, ellenőrizzük más csatornán az információt (például rendelés esetén közvetlenül a cég hivatalos oldalán).

• Figyeljünk az engedélykérésekre

  A Mamont egy sor veszélyes engedélyt kért – SMS, overlay, Accessibility Service. Ezeket nem szabad automatikusan megadni. Egy csomagkövető alkalmazás például nem kérhet SMS-olvasási vagy híváskezelési jogosultságot. Ha igen, az figyelmeztető jel.

• Használjunk biztonsági megoldásokat

  Bár a Mamont trójai próbált elrejtőzni az antivírus szoftverek elől, egy naprakész mobilbiztonsági megoldás sok esetben képes észlelni a gyanús viselkedést – különösen, ha overlay vagy Accessibility Service engedélyeket kér egy frissen telepített app.

• Oktatás és szervezeti tudatosság

  A social engineering elleni védekezés kulcsa az edukáció. Magánszemélyek és vállalatok számára egyaránt fontos, hogy megértsék: a támadók nem(csak) a technológiát, hanem az embert veszik célba. Céges környezetben érdemes a BYOD-eszközökre is kiterjeszteni a biztonsági szabályokat.

A Mamont-eset túlmutat egy egyszerű malware-kampányon. A letartóztatások fontos előrelépést jelentenek, de korántsem jelentik a fenyegetés végét – inkább azt mutatják, hogy a kiberbűnözés egyre szervezettebbé és célzottabbá válik, miközben szinte észrevétlenül épül be a felhasználók mindennapjaiba. A Mamont fejlesztői nem technikai bravúrral, hanem az emberi bizalom kihasználásával értek el eredményt.

A kampány sikere nem a bonyolult kódban rejlett, hanem abban, hogy a támadók pontosan tudták, hogyan reagálnak az emberek egy meglepően olcsó ajánlatra vagy egy látszólag személyes videóra. A megtévesztés itt nem a gépet, hanem a felhasználót célozta – és sajnos sok esetben sikerrel is járt.

Ezért a kiberbiztonság ma már nem csupán technikai kérdés, hanem a digitális önvédelem része. A tudatos döntések – például hogy nem telepítünk ismeretlen alkalmazást, vagy gyanakodva kezelünk egy váratlan üzenetet – legalább annyit számítanak, mint egy vírusirtó szoftver.

Források:

• https://therecord.media/mamont-banking-malware-arrests-russia

• https://www.securitylab.ru/news/557797.php

• https://securelist.com/mamont-banker-disguised-as-parcel-tracking-app/115006/