Российская компания F6, специализирующаяся на создании технологий для противодействия киберугрозам, отмечает увеличение числа атак на клиентов крупнейших банков страны с применением обновлённой версии Android-трояна Falcon. К концу февраля 2026 года в России было зарегистрировано свыше 10 тысяч смартфонов, заражённых этим вредоносным ПО, причём за две недели их количество возросло на треть. Falcon предоставляет злоумышленникам возможность похищать информацию из более чем 30 распространённых мобильных приложений и получать полный контроль над устройством жертвы. Отличительная черта троянца — повышенная устойчивость к антивирусным решениям: он способен автоматически удалять защитные программы сразу после своей инсталляции. Об этом CNews рассказали в F6.
Многофункциональный инструмент
Новый всплеск атак на российских пользователей с использованием банковского трояна Falcon для Android эксперты F6 впервые обнаружили в ноябре 2025 года. Аналитики подразделения киберразведки F6 Threat Intelligence сообщили об этом в начале февраля 2026 года. Сегодня специалисты департамента по борьбе с финансовым мошенничеством F6 Fraud Protection представили итоги изучения образцов вредоносного приложения.
Falcon — это вредоносная программа для ОС Android, впервые выявленная в июле 2021 года. Она создана на основе банковского трояна Anubis. Falcon крадёт данные с инфицированного устройства, выполняя команды, полученные с управляющего сервера. Летом 2022 года вредонос распространялся под видом легитимных приложений российских банков. В отличие от трояна Mamont и зловредных модификаций легального софта NFCGate, которые изначально разрабатывались для хищения средств со счетов, основная цель Falcon — кража конфиденциальных данных (учётных записей, паролей и кодов двухфакторной аутентификации).
Ключевой вывод исследования: версия Falcon 2026 года функционирует как универсальный инструмент, позволяющий злоумышленникам получать доступ к аккаунтам пользователей в популярных банковских и других сервисах. Обновлённая версия стала ещё более угрожающей: в неё добавили не только модуль VNC (Virtual Network Computing) для дистанционного управления устройством, но и механизм противодействия антивирусам.
Falcon может стирать антивирусные приложения с устройства сразу после собственной установки. Если же пользователь попытается открыть список программ и вручную удалить вредонос, троян будет препятствовать этому, возвращая его на главный экран. Таким образом, наличие антивируса на Android-устройстве не обеспечивает защиту от атак с применением Falcon.
Особую опасность Falcon представляет для рядовых пользователей. Действия вредоносного приложения, ведущие к захвату контроля над смартфоном и хищению конфиденциальной информации, малозаметны и могут восприниматься как незначительные технические неполадки в работе устройства.
Согласно отчету F6 на конец февраля, в России было зафиксировано свыше 10 тысяч Android-устройств, зараженных троянцем Falcon. Их количество выросло на треть всего за две недели и демонстрирует тенденцию к дальнейшему увеличению.
Предоставление прав доступа
Специалисты F6 установили, что злоумышленники распространяют APK-файл через фишинговые сайты, имитирующие официальные государственные порталы, банковские приложения и мессенджеры.
Атака осуществляется в два шага. Сначала, применяя методы социальной инженерии, злоумышленники побуждают пользователя загрузить вредоносное приложение, выдавая его за полезную программу — например, клиент крупного банка, государственный или платежный сервис. При запуске APK-файла система запрашивает разрешение на установку из непроверенных источников.
Сразу после инсталляции программа предлагает обновление с идентичным названием. Однако вместо обновления легального приложения на устройство устанавливается FalconRAT.
При первом запуске троянец запрашивает у пользователя доступ к службам специальных возможностей Android. Это встроенный в ОС набор инструментов, созданный для помощи людям с ограниченными возможностями.
Получив такой доступ, FalconRAT автоматически активирует все разрешения, необходимые для его дальнейшей работы. Для пользователя этот процесс выглядит как быстрое мелькание окон на экране смартфона в течение нескольких секунд. Неискушенный пользователь, скорее всего, не заметит в этом ничего необычного.
Внимание, подмена!
FalconRAT нацелен на кражу данных из более чем 30 популярных сервисов: банковских приложений, государственных порталов, сервисов мобильных операторов, маркетплейсов, социальных сетей и мессенджеров (включая зарубежные), магазинов приложений, площадок бесплатных объявлений, систем бесконтактной оплаты, служб заказа такси, покупки билетов и бронирования, российских почтовых и облачных сервисов, YouTube, а также VPN-приложений.
Как именно крадутся данные? Когда пользователь запускает одно из целевых приложений, Falcon подменяет изображение на экране и открывает веб-страницу, оформленную под этот сервис. Как только на такой поддельной странице вводятся логин, пароль и код двухфакторной аутентификации, эти сведения мгновенно передаются злоумышленникам.
Анализ кода показал, что создатели Falcon избегают атак на пользователей из США и Австралии: при запуске на устройствах, локализованных в этих странах, вредоносная программа самостоятельно прекращает работу.
«В эпоху стремительного распространения автоматизированных угроз злоумышленникам уже не обязательно красть средства напрямую: сбор определенного объема конфиденциальной информации может оказаться гораздо выгоднее. Удаленный контроль над экраном и управление устройством — одна из ключевых возможностей FalconRAT, предоставляющая злоумышленникам мощный инструмент. Дополнительная функция, позволяющая затемнять экран пользователя, помогает скрыть их действия и блокировать попытки удаления вредоносного ПО», — подчеркнул Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Советы экспертов F6 пользователям: как обезопасить себя от FalconRAT
Избегайте общения в мессенджерах с незнакомцами, независимо от того, кем они себя называют: сотрудниками банков, операторов связи, государственных или коммунальных служб.
Не переходите по ссылкам из SMS или сообщений в мессенджерах, даже если они выглядят как уведомления от банков или официальных организаций.
Не устанавливайте приложения по совету незнакомых людей, а также по ссылкам из SMS, сообщений в мессенджерах, электронных писем или с подозрительных сайтов.
Загружайте приложения исключительно из официальных магазинов.
Ограничьте доступ приложений на вашем мобильном устройстве к личным данным и предоставляемые им права.
Никому не сообщайте коды подтверждения, пароли и другую секретную информацию.
При малейшем подозрении на утечку данных оперативно блокируйте банковские карты и меняйте пароли от сервисов.
Не удаляйте банковские приложения по просьбе третьих лиц. Эти приложения обладают встроенными механизмами защиты и могут помочь предотвратить действия мошенников.
Не предоставляйте приложениям доступ к конфиденциальным разрешениям, если вы не понимаете, зачем это нужно. Особую осторожность следует проявлять в отношении разрешения для службы специальных возможностей (Accessibility). FalconRAT наглядно показывает, что одно такое разрешение может позволить вредоносной программе самостоятельно получить любые другие права.
Проверьте устройство на наличие подозрительных приложений, если заметили необычное поведение смартфона — например, самопроизвольный запуск или закрытие программ, автоматическое сворачивание окон или возврат на главный экран. Эти признаки могут указывать на удаленное управление или автоматизированную работу вредоносного ПО.
Рекомендации экспертов F6 для подразделений информационной безопасности банков
Учитывайте данные о геолокации пользователей.
При отправке OTP-кодов через SMS внедряйте механизмы проверки приложения, которое получает эти сообщения на устройстве клиента.
Внедряйте дополнительные меры защиты на устройствах пользователей для обнаружения сторонних вредоносных приложений.
Внедрить процедуры для обнаружения программ, которые получили разрешение на использование функций специальных возможностей.
Банкам противостоять подобным манипуляциям позволяют системы противодействия мошенничеству, которые анализируют данные сессий и поведенческие паттерны, а также технологии обнаружения аномальной активности, способные оценивать как инициатора, так и адресата финансового перевода.
