El virus Mamont rara vez parece algo técnicamente complejo. Los atacantes se aprovechan de la costumbre de abrir rápidamente los archivos adjuntos y responder "en automático". El mensaje llega como "Mira, ¿estás en el video?" o "Revisa el número de seguimiento", y entonces comienza la instalación de la aplicación.
El nombre tampoco es casual. En la jerga de los estafadores "mamont" significa la víctima, una persona confiada a la que es más fácil presionar para que instale un archivo y conceda permisos. Ese argot se trasladó con rapidez a los nombres de esquemas y compilaciones maliciosas.
La vulnerabilidad casi siempre es la misma. La víctima recibe un APK, confirma la instalación desde fuentes desconocidas y luego concede permisos. Tras eso aparece en el smartphone una herramienta que roba códigos e incita a realizar transferencias.
Los lugares más cómodos para este tipo de ataques son cualquier chat grupal y las comunidades públicas. Allí es más fácil pasar desapercibido y los participantes están acostumbrados al flujo de enlaces y archivos. En las noticias se mencionó también a MAX, pero no es un mensajero concreto lo que causa el contagio, sino la instalación del APK desde un mensaje.
Una mecánica similar la describieron antes los analistas cuando el troyano se disfrazaba de servicio de seguimiento de envíos o de herramienta de servicio. En el análisis de Laboratorio de Kaspersky se muestra el escenario típico con una aplicación falsa y la posterior recopilación de datos para el robo.
Qué hace el programa malicioso y qué señales indican una infección
El objetivo principal de la familia de troyanos bancarios es sencillo. El programa malicioso intenta acceder al dinero mediante códigos de verificación y notificaciones. Los SMS y las notificaciones push con frecuencia contienen contraseñas de un solo uso, estados de transferencias y avisos del banco.
A continuación entra en juego la recopilación de contexto. El software malicioso comprueba qué bancos y servicios de pago están instalados en el smartphone, qué notificaciones llegan y cómo la persona confirma las operaciones. Este enfoque ayuda a atacar con más precisión y reduce las detecciones rápidas.
Algunas variantes amplían la funcionalidad hasta el control remoto. En materiales de F6 describen el desarrollo de la familia y el desplazamiento hacia capacidades similares al acceso remoto. En ese escenario al atacante le resulta más sencillo adaptar el ataque a la situación concreta.
Los síntomas suelen parecer cotidianos, pero la combinación de señales habla claro. Si tras un video o un servicio de seguimiento el smartphone empieza a comportarse de forma extraña, trate la situación como un incidente.
- Aparecen solicitudes de acceso a SMS, notificaciones, llamadas o "Funciones de accesibilidad" sin razón aparente.
- El smartphone se descarga más rápido, aumenta el tráfico y aparecen ventanas emergentes desconocidas.
- En los SMS se observan mensajes salientes que no se enviaron, o el banco envía notificaciones sobre operaciones que no se realizaron.
- En la lista de aplicaciones aparece un nombre desconocido y no hay un icono en la pantalla de inicio.
Para convertir pronto las sospechas en comprobación, vaya a los ajustes del sistema y observe qué consume los recursos. Abra la sección de batería y compruebe el consumo por aplicación; hay indicaciones en la ayuda de Pixel y en la guía general sobre consumo rápido.
Después abra la gestión de permisos y compruebe quién tiene acceso a SMS, notificaciones, llamadas y ejecución en segundo plano. Android muestra esos ajustes en el panel de permisos; hay una guía paso a paso en la ayuda. Si ve un programa desconocido con acceso a notificaciones, desactive ese acceso de inmediato.
Revise por separado el bloque de funciones de accesibilidad. Los troyanos bancarios suelen consolidarse mediante la accesibilidad porque así es más fácil interceptar acciones y dificultar la eliminación. El acceso rápido a las secciones necesarias se describe en el menú de funciones de accesibilidad.
Medidas preventivas diarias que rompen la cadena típica de ataque
La regla más fiable es aburrida, pero práctica. No instale APK desde chats, correos o enlaces "de un conocido". Incluso un contacto real podría haber perdido acceso a su cuenta y el mensaje lo envía un bot.
La instalación de aplicaciones debe comenzar desde la tienda oficial. Allí funciona la verificación y a las compilaciones maliciosas les resulta más difícil consolidarse a largo plazo. Play Protect activado suele detectar APK maliciosos masivos antes de la instalación y a veces encuentra amenazas después.
La segunda barrera es el control de permisos. Los troyanos bancarios buscan SMS y notificaciones porque los códigos de verificación llegan precisamente allí. Android permite corregir rápidamente los permisos y desactivar accesos que no son necesarios para la función real de la aplicación.
La tercera barrera: prohibir la instalación desde fuentes desconocidas. Si el interruptor está activado "por si acaso", un APK malicioso obtiene ventaja. Active la instalación desde fuentes externas solo por un periodo corto y después desactívela.
Hay otra prueba simple. Un video en Android no requiere instalar una aplicación desde un archivo. Si un video pide instalar un APK, no es un video, es un instalador.
Qué hacer ante la sospecha de infección
Primero desconecte la red. El modo avión o desactivar manualmente Wi‑Fi y datos móviles reduce la ventana en la que el malware puede recibir comandos y enviar los códigos interceptados. Después proceda con calma a la limpieza.
A continuación localice y elimine la aplicación sospechosa. Si la eliminación no se completa, la causa suele estar relacionada con los privilegios de administrador del dispositivo o con el acceso mediante las funciones de accesibilidad. Elimine los permisos peligrosos de la aplicación dudosa y luego vuelva a intentar la eliminación.
Al mismo tiempo reduzca el riesgo financiero. Si han llegado notificaciones extrañas o aparecen cargos desconocidos, contacte con el banco y limite temporalmente las operaciones remotas. Esa medida suele detener las pérdidas más rápido.
Tras la limpieza cambie las contraseñas desde otro dispositivo. Comience por el correo, la tienda de aplicaciones, los mensajeros y los servicios bancarios. Compruebe si se añadieron nuevos dispositivos a la lista de confianza; los pasos están en la sección de Seguridad de la cuenta Google.
Si los síntomas persisten o no se logra eliminar la aplicación maliciosa, haga una copia de seguridad de los datos importantes y realice un restablecimiento a los ajustes de fábrica. Después del restablecimiento instale aplicaciones solo desde la tienda oficial y active Play Protect de inmediato.
Conclusión
Estos troyanos no triunfan por "magia", sino por hábitos. Basta con un APK desde un chat y un par de permisos para que el atacante acceda a códigos y notificaciones. La protección empieza por no instalar adjuntos y por mirar con atención las solicitudes de permisos. Ante una infección ayuda una secuencia fría y ordenada de acciones: desconectar la red, quitar permisos peligrosos, eliminar la aplicación sospechosa y cerrar rápidamente el riesgo bancario. Luego cambie las contraseñas desde otro dispositivo y vuelva a configuraciones seguras para que el siguiente "video" no se convierta en un instalador.
FAQ
¿Por qué un "video del chat" de pronto pide instalar una aplicación? En Android un video no llega en forma de APK. El APK inicia la instalación de una aplicación y exige confirmaciones adicionales en los ajustes. Los estafadores ocultan el instalador bajo etiquetas como "video" o "foto" para que se pulse "instalar".
¿Por qué llamaron "Mamont" al troyano? En la jerga de los defraudadores "mamont" significa la víctima, una persona confiada a la que es más fácil convencer de hacer clics adicionales y realizar transferencias. El nombre resulta llamativo y al mismo tiempo describe el objetivo del ataque.
¿Qué permisos usan con más frecuencia los troyanos bancarios? Con mayor frecuencia solicitan acceso a SMS y notificaciones, a veces a llamadas y a la ejecución en segundo plano. Un riesgo aparte lo crean las funciones de accesibilidad y los privilegios de administrador del dispositivo, porque esos accesos ayudan a interceptar acciones en pantalla y dificultan la eliminación.
¿Play Protect protege contra la infección? Play Protect reduce el riesgo, pero no garantiza una protección del cien por cien. La verificación ayuda a filtrar APK maliciosos masivos y a veces detecta la amenaza después de la instalación.
¿Se puede evitar el restablecimiento de fábrica? A menudo basta con eliminar la aplicación sospechosa después de quitarle los permisos peligrosos y cambiar las contraseñas desde otro dispositivo. El restablecimiento resulta razonable cuando el malware se ha consolidado, no se elimina o los síntomas vuelven.
