Новая версия Android-трояна Falcon скомпрометировала более 10 тыс. устройств в России
Специалисты компании F6 зафиксировали рост числа атак на клиентов российских банков с использованием обновленной версии Android-трояна Falcon. На конец февраля 2026 года в России насчитывалось свыше 10 тыс. смартфонов, зараженных этим вредоносным ПО. Всего за две недели количество скомпрометированных устройств увеличилось на 33%.
Новая волна атак с использованием трояна была впервые отмечена специалистами F6 в ноябре 2025 года. В начале февраля 2026-го аналитики департамента киберразведки F6 Threat Intelligence сообщили об этом, а позже эксперты департамента противодействия финансовому мошенничеству F6 Fraud Protection представили результаты исследования образцов ВПО.
Falcon — вредоносная программа для Android, впервые обнаруженная в июле 2021 года и основанная на банковском трояне Anubis. В отличие от других троянов, нацеленных на прямое хищение денег (Mamont, вредоносные версии NFCGate), Falcon предназначен для кражи учетных данных: логинов, паролей и кодов двухфакторной аутентификации. В версии 2026 года злоумышленники добавили модуль VNC (Virtual Network Computing) для удаленного управления устройством и систему защиты от антивирусных приложений. Как сообщили в F6, троян может удалять антивирусы сразу после собственной установки, а также препятствовать попыткам пользователя удалить его, переключая экран на главный экран.
Распространение вредоносного ПО происходит через фишинговые веб-ресурсы, маскирующиеся под государственные и банковские сервисы, а также мессенджеры. Пользователя убеждают скачать APK-файл под видом полезной программы, например, банковского приложения. После установки программа предлагает установить «обновление», под видом которого на устройство попадает FalconRAT.
При запуске троян запрашивает доступ к службам Android Accessibility. Получив его, ВПО автоматически проставляет необходимые разрешения. Для пользователя этот процесс, как отмечается в сообщении, выглядит как быстрое открытие и закрытие окон в течение нескольких секунд, что неопытный пользователь может не заметить или принять за технический сбой.
FalconRAT ориентирован на кражу данных более чем 30 популярных сервисов: банковских, государственных, маркетплейсов, соцсетей, мессенджеров, сервисов такси и бронирования. При запуске целевого приложения троян подменяет изображение на экране, открывая фишинговую веб-страницу, стилизованную под нужный сервис. Введенные пользователем логин, пароль и код двухфакторной аутентификации отправляются злоумышленникам.
Анализ кода показал, что разработчики Falcon избегают атак на пользователей в США и Австралии: при запуске на устройствах из этих стран ВПО прекращает работу.
Рекомендации по защите
Специалисты F6 рекомендуют пользователям не переходить по ссылкам из сообщений от незнакомцев, не устанавливать приложения из непроверенных источников и не предоставлять приложениям доступ к службе Accessibility без понимания цели. Признаками заражения могут быть странное поведение смартфона: автоматический запуск или завершение приложений, сворачивание окон и перенаправление на домашний экран.
Для подразделений информационной безопасности банков в компании советуют учитывать геолокацию пользователей, внедрять механизмы проверки приложений, принимающих SMS с OTP-кодами, и выявлять приложения, имеющие доступ к службам Accessibility. Защититься от подобных атак, как сообщили в F6, помогают антифрод-решения с анализом сессионных и поведенческих данных, а также технологии выявления подозрительной активности.
Читайте также
