Android Trojan Mamont Evolui para Kotlin: Análise de um Malware Sofisticado
Um trojan Android, anteriormente conhecido como Mamont, foi reescrito em Kotlin, apresentando novas técnicas de ofuscação e evasão. Este artigo detalha a análise do malware, desde o seu vetor de infecção inicial até as complexas camadas de proteção.
MundiX News·27 de junho de 2026·6 min de leitura·👁 1 views
Em 24 de fevereiro de 2026, uma mensagem suspeita chegou ao aplicativo de mensagens MAX, vinda de um contato familiar: "Veja, é você na foto", acompanhada de um arquivo .apk disfarçado de imagem. O incidente, que levou à desativação temporária da internet e troca de senhas do dispositivo afetado, serviu como ponto de partida para uma investigação profunda sobre o trojan Android Mamont. Embora o arquivo original tenha sido perdido devido à exclusão da conta do remetente, a possibilidade de recuperá-lo posteriormente permitiu a análise detalhada deste malware, agora reescrito em Kotlin.
O primeiro passo na análise envolveu o envio do arquivo para o VirusTotal. Inicialmente detectado por 18 motores antivírus, o número aumentou para 23 no momento da redação deste artigo, indicando um esforço contínuo para manter o malware indetectável. A análise comportamental revelou tráfego TCP para o IP 176.124.222.81 na porta 80, um ponto crucial para a comunicação do malware. A estrutura do APK, apesar de apresentar um AndroidManifest.xml com um parâmetro de senha, foi extraída com sucesso utilizando o APKTool. O AndroidManifest.xml revelou um conjunto extenso de permissões, incluindo acesso a SMS (recebimento, leitura e envio), inicialização automática ao ligar o dispositivo (RECEIVE_BOOT_COMPLETED), leitura de contatos e histórico de chamadas para fins de propagação, acesso à internet, e mecanismos para operar em segundo plano e evitar a finalização de processos (FOREGROUND_SERVICE, WAKE_LOCK, SCHEDULE_EXACT_ALARM).
A análise aprofundada do código revelou que o trojan utiliza diversas técnicas de ofuscação e evasão. O Application-class do malware, Laed1011QFmO, funciona como um stub loader, responsável por carregar dinamicamente um segundo DEX (DycyX.mb) a partir dos assets do aplicativo. Este carregamento é realizado através da classe BaseDexClassLoader, e o loader original é substituído via reflexão, uma técnica comum para dificultar a análise estática. O código apresenta Control Flow Flattening, onde a lógica de execução é fragmentada e reorganizada em blocos com identificadores únicos, controlados por um loop while(true) e uma estrutura switch(hash). As strings são codificadas usando arrays de short e chaves XOR, exigindo um processo de decodificação para serem compreendidas. Além disso, chamadas de API são encapsuladas em métodos intermediários, aumentando a complexidade da engenharia reversa. A presença de metadados relacionados à Kaspersky sugere uma tentativa de evasão específica contra este antivírus, que, curiosamente, não detectou a amostra nas semanas anteriores à análise.
O trojan também exibe comportamentos maliciosos específicos. O receptor de SMS com prioridade máxima (2147483647) garante que ele capture mensagens antes de qualquer aplicativo legítimo, permitindo o roubo de códigos de autenticação de dois fatores ou outras informações sensíveis. A simulação de uma interface semelhante ao Truecaller (com.truecaller.messaging.conversation.ConversationActivity) é uma tática para enganar o usuário e obter permissões adicionais ou acesso a dados de mensagens. A combinação dessas técnicas de ofuscação, evasão e funcionalidades maliciosas faz do Mamont um exemplo preocupante da evolução dos malwares Android, exigindo vigilância constante e ferramentas de análise atualizadas para sua detecção e neutralização.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em 24 de fevereiro de 2026, uma mensagem suspeita chegou ao aplicativo de mensagens MAX, vinda de um contato familiar: "Veja, é você na foto", acompanhada de um arquivo .apk disfarçado de imagem. O incidente, que levou à desativação temporária da internet e troca de senhas do dispositivo afetado, serviu como ponto de partida para uma investigação profunda sobre o trojan Android Mamont. Embora o arquivo original tenha sido perdido devido à exclusão da conta do remetente, a possibilidade de recuperá-lo posteriormente permitiu a análise detalhada deste malware, agora reescrito em Kotlin.
O primeiro passo na análise envolveu o envio do arquivo para o VirusTotal. Inicialmente detectado por 18 motores antivírus, o número aumentou para 23 no momento da redação deste artigo, indicando um esforço contínuo para manter o malware indetectável. A análise comportamental revelou tráfego TCP para o IP 176.124.222.81 na porta 80, um ponto crucial para a comunicação do malware. A estrutura do APK, apesar de apresentar um AndroidManifest.xml com um parâmetro de senha, foi extraída com sucesso utilizando o APKTool. O AndroidManifest.xml revelou um conjunto extenso de permissões, incluindo acesso a SMS (recebimento, leitura e envio), inicialização automática ao ligar o dispositivo (RECEIVE_BOOT_COMPLETED), leitura de contatos e histórico de chamadas para fins de propagação, acesso à internet, e mecanismos para operar em segundo plano e evitar a finalização de processos (FOREGROUND_SERVICE, WAKE_LOCK, SCHEDULE_EXACT_ALARM).
A análise aprofundada do código revelou que o trojan utiliza diversas técnicas de ofuscação e evasão. O Application-class do malware, Laed1011QFmO, funciona como um stub loader, responsável por carregar dinamicamente um segundo DEX (DycyX.mb) a partir dos assets do aplicativo. Este carregamento é realizado através da classe BaseDexClassLoader, e o loader original é substituído via reflexão, uma técnica comum para dificultar a análise estática. O código apresenta Control Flow Flattening, onde a lógica de execução é fragmentada e reorganizada em blocos com identificadores únicos, controlados por um loop while(true) e uma estrutura switch(hash). As strings são codificadas usando arrays de short e chaves XOR, exigindo um processo de decodificação para serem compreendidas. Além disso, chamadas de API são encapsuladas em métodos intermediários, aumentando a complexidade da engenharia reversa. A presença de metadados relacionados à Kaspersky sugere uma tentativa de evasão específica contra este antivírus, que, curiosamente, não detectou a amostra nas semanas anteriores à análise.
O trojan também exibe comportamentos maliciosos específicos. O receptor de SMS com prioridade máxima (2147483647) garante que ele capture mensagens antes de qualquer aplicativo legítimo, permitindo o roubo de códigos de autenticação de dois fatores ou outras informações sensíveis. A simulação de uma interface semelhante ao Truecaller (com.truecaller.messaging.conversation.ConversationActivity) é uma tática para enganar o usuário e obter permissões adicionais ou acesso a dados de mensagens. A combinação dessas técnicas de ofuscação, evasão e funcionalidades maliciosas faz do Mamont um exemplo preocupante da evolução dos malwares Android, exigindo vigilância constante e ferramentas de análise atualizadas para sua detecção e neutralização.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
