Вирус «Мамонт» захватывает мессенджер Max и крадет деньги россиян

В «национальном» мессенджере Max зафиксирован всплеск активности вредоносного программного обеспечения: пользователям рассылают Android-вирус «Мамонт», который позволяет злоумышленникам похищать деньги и личные данные. О новой волне атак сообщили эксперт:ки по кибербезопасности, однако представители самого сервиса утверждают, что угрозы не существует.

По данным прокремлевского издания «Газета.Ru», вирус распространяется через массовые чаты, например, домовые, родительские или дачные. Руководительница направления анализа цифровых угроз компании Infosecurity Кристина Буренкова рассказала, что мошенники сначала взламывают аккаунт одного из участников чата, после чего от его имени публикуют тревожное сообщение — например, о якобы произошедшей аварии со знакомыми.

«Люди, взволнованные новостью, переходят по ссылке, видят файл с якобы фотографиями, но на самом деле это установочный файл Android-приложения. Внутри такого файла — троян „Мамонт“», — пояснила Буренкова. По ее словам, вредоносная программа перехватывает SMS и push-уведомления с кодами авторизации, а также может получить доступ к платежным данным пользователя.

Что такое «Мамонт»?

«Мамонт» — это троян для Android-устройств, который маскируется под обычный файл или приложение. После установки вредоносная программа получает доступ к сообщениям и уведомлениям на смартфоне, может перехватывать SMS с банковскими кодами подтверждения и собирать личные данные пользователя.

Главная цель таких программ — получить доступ к банковским сервисам жертвы и вывести деньги на счета злоумышленни:ц. Однако, как отмечают специалисты по кибербезопасности, трояны нередко используют и для других преступлений: например, для кражи персональных данных, доступа к фотографиям и файлам на устройстве или дальнейшего распространения вредоносных ссылок через взломанные аккаунты.

В самом мессенджере Max сообщения о распространении вируса отрицают. В Центре безопасности платформы сообщили прокремлевским РИА Новости, что специалисты «проактивно выявляют и блокируют вредоносное программное обеспечение», а пользовательские данные, по их словам, находятся под надежной защитой.

Что думают специалист:ки?

В разговоре с DOXA киберадвокат и правовой советник VPN-Гильдии Саркис Дарбинян рассказал о рисках использования мессенджера Max и о том, что появление вируса «Мамонт» говорит о ситуации с кибербезопасностью в России.

По его словам, говорить об абсолютной безопасности любых цифровых сервисов в принципе невозможно.

«Абсолютной безопасности нет нигде. Если вы хотите полностью обезопасить себя от киберугроз, вы не должны пользоваться никакими цифровыми платформами. Все, что подключено к сети, рано или поздно может быть взломано», — отметил Дарбинян.

Эксперт добавил, что текущие исследования не показывают у приложения Max аномального поведения.

«По паттернам активности на телефоне Max ведет себя примерно так же, как WhatsApp или Telegram. Мы даже обнаружили некоторые встроенные механизмы защиты от MITM-атак. Но это вовсе не означает, что пользователи надежно защищены от мошенников и киберпреступников», — говорит он.

По мнению Дарбиняна, проблема может заключаться в том, что сервис слишком быстро вывели на рынок.

«Государство в лице подконтрольной VK, где, как мы видим, у Путина и Кириенко есть собственный интерес, слишком торопилось с запуском продукта, который должен заменить другие мессенджеры. В такой спешке компании часто не успевают провести полноценное тестирование, объявить bug bounty и пройти независимые аудиты безопасности. Поэтому сложно представить, какие еще критические уязвимости могут проявиться в Max», — считает эксперт.

При этом, подчеркивает он, большинство успешных кибератак строится не столько на технологических уязвимостях, сколько на психологическом давлении на пользователей.

«Сегодня кибератаки чаще опираются на социальную инженерию — на то, чтобы заставить человека самому открыть файл или перейти по ссылке», — отметил Дарбинян.

Появление вируса вроде «Мамонта», по его мнению, также показывает ограниченность текущей стратегии российских властей в борьбе с киберпреступностью.

«Блокировка мессенджеров, запрет звонков и SMS из-за границы, а также многочисленные поправки в КоАП и Уголовный кодекс — например, против так называемых сим-банков — не решили проблему. Преступники по-прежнему используют масштабные утечки данных для социальной инженерии, распространяют фишинговые ссылки и вредоносные программы», — сказал он.

Дарбинян также обратил внимание на технологические изменения на российском рынке. После ухода крупных производителей и компаний по кибербезопасности рынок заполнили более дешевые устройства, что, по его словам, может увеличивать риски распространения вредоносного программного обеспечения.

По мнению эксперта, эффективная борьба с кибермошенничеством требует не изоляции, а международного сотрудничества.

«Чтобы противостоять киберпреступности, нужно не строить суверенный и изолированный интернет, а участвовать в международных механизмах расследования — работать с CERT-центрами реагирования на киберугрозы, консорциумами обмена информацией вроде FATF и Egmont и соглашениями вроде Будапештской конвенции», — подчеркнул Дарбинян.

Контекст

Max — мессенджер госкомпании VK, который начали тестировать весной 2025 года. Уже летом 2025 года власти объявили его «национальным мессенджером». Проект позиционируется как «суперапп» по образцу китайского WeChat: в одном приложении должны объединить переписку, государственные сервисы, платежи, электронную подпись и систему цифровой идентификации.

С 1 сентября Max должен предустанавливаться на все смартфоны и планшеты, продаваемые в России. Параллельно государственные структуры начали активно продвигать платформу: чиновни:цам и бюджетным организациям рекомендовали регистрироваться в сервисе, а школы, управляющие компании и местные администрации — переводить туда родительские и домовые чаты.

Журналист:ки и исследователь:ницы отмечают, что такая система уже стала инструментом масштабного сбора данных. В Max уже интегрированы государственные сервисы — например, вход в «Госуслуги», обращения в МФЦ и цифровой ID для подтверждения личности и возраста. Чем больше функций объединяют в одном приложении, тем больше персональной информации пользователей оказывается внутри одной системы.

Российское законодательствоРечь идет прежде всего о так называемом «пакете Яровой» и законе «Об информации, информационных технологиях и защите информации», которые обязывают интернет-сервисы хранить данные пользователей и предоставлять их государственным органам по законному запросу требует от интернет-платформ, которые относятся к «организаторам распространения информации», хранить данные о пользователях и их коммуникациях и предоставлять их государственным органам по законному запросу. Такие сервисы также обязаны взаимодействовать с системой оперативно-разыскных мероприятий — СОРМ, которая позволяет спецслужбам получать доступ к трафику связи в рамках действующего законодательства.

Эксперт:ки по цифровой безопасности указывают и на другой риск: государственные базы данных в России регулярно становятся источником утечек. Доступ к персональной информации россиян нередко появляется на черном рынке, а мошенни:цы используют такие базы для более точных и убедительных атак. Чем больше данных аккумулирует единая платформа, тем более привлекательной целью она становится для хакеров.

При этом, как сообщали источники «Медиазоны», в подразделениях российской армии использование Max, наоборот, запретили из-за опасений по поводу безопасности. Близкий к ВКС провоенный блогер Илья Туманов (Fighterbomber) писал, что командование сочло мессенджер недостаточно защищенным и пообещало внедрить отдельное военное программное обеспечение.

С начала февраля Роскомнадзор ограничивает работу Telegram в России, объясняя это вопросами безопасности и борьбой с преступлениями. Это решение вызвало резкую критику — в том числе со стороны военных, для которых Telegram остается одним из основных каналов связи на фронте войны России с Украиной.