Механика неприятна именно своей бытовой простотой. Человеку присылают ссылку на «трекер посылки», «служебное приложение», «обновление» или другой APK-файл. APK — это установочный файл Android вне официального магазина. Пользователь сам нажимает «установить», потому что часть банковских, медийных и рабочих приложений в России давно ставят именно так.
После установки Mamont просит разрешения, которые выглядят техническими. Работа в фоне, доступ к уведомлениям, СМС, звонкам. Для человека это галочки. Для трояна это вход в банковскую жизнь: он видит коды подтверждения, сообщения банка, данные платежей, может передавать их оператору атаки и помогать обходить двухфакторную защиту.
По оценкам экспертов из материала «Ъ», уже скомпрометировано около 1,5 млн Android-устройств в России, примерно 1,5% всех таких смартфонов. Рост подпитывает не «глупость пользователей», а новая нормальность: когда привычного приложения нет в магазине, человек скачивает файл из чата, с сайта или из рекламной выдачи.
Мошеннику больше не обязательно ломать телефон. Достаточно убедить владельца открыть дверь и выдать ключи.
Практическая проверка простая: если приложение пришло ссылкой в сообщении и сразу просит доступ к СМС, уведомлениям, звонкам или спецвозможностям Android, это не «техническая формальность». Это ровно те разрешения, которые превращают смартфон в чужой банковский терминал.