F6: новая версия трояна Falcon заразила более 10 тыс. смартфонов в России

Компания F6, российский разработчик технологий для борьбы с киберугрозами, фиксирует рост атак на клиентов ведущих российских банков с использованием новой версии Android-трояна Falcon. В конце февраля 2026 года в России насчитывалось более 10 тыс. смартфонов, скомпрометированных этим вредоносным приложением, всего за две недели их число увеличилось на 33%. Falcon позволяет киберпреступникам похищать данные более чем 30 популярных мобильных сервисов и полностью управлять устройством пользователя. Особенность трояна — высокий уровень защиты от антивирусов: Falcon может удалять такие приложения сразу после собственной установки.

Универсальная отмычка

Новую волну атак на пользователей в России с использованием банковского Android-трояна Falcon специалисты F6 впервые зафиксировали в ноябре 2025 года. Аналитики департамента киберразведки F6 Threat Intelligence сообщили об этом в начале февраля 2026-го. Сегодня эксперты департамента противодействия финансовому мошенничеству F6 Fraud Protection представили результаты исследования образцов вредоносного приложения.

Falcon — вредоносная программа для операционной системы Android, впервые обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений. В отличие от трояна Mamont и вредоносных версий легитимного приложения NFCGate, которые злоумышленники изначально создавали для кражи денег с банковских счетов пользователей, Falcon предназначается в первую очередь для кражи данных (логинов, паролей и кодов двухфакторной аутентификации).

Главный вывод исследования: Falcon образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учетным записям пользователей для работы в популярных банковских сервисах и других приложениях. Новая версия ВПО стала еще опаснее: в приложение добавили не только модуль VNC (Virtual Network Computing — Виртуальные сетевые вычисления) для удаленного управления устройством пользователя, но и систему защиты от антивирусов.

Falcon может удалять антивирусы с устройства сразу после собственной установки. А если пользователь попытается просмотреть список программ и удалить вредоносное приложение, то троян будет этому мешать и переключаться на главный экран. Так что наличие антивируса на Android-устройстве не гарантирует его безопасности при атаке с использованием Falcon.

Особенно опасен Falcon для обычных пользователей. Действия вредоносного приложения, которые приводят к получению контроля над устройством и краже чувствительных данных, малозаметны и порой могут казаться незначительными техническими сбоями в работе смартфона.

По данным F6 на конец февраля, в России насчитывалось более 10 тыс. Android-устройств, скомпрометированных трояном Falcon. Всего за две недели их число увеличилось на 33% и продолжает расти.

Доступ разрешен

Аналитики F6 выяснили: злоумышленники распространяют APK-файл через фишинговые веб-ресурсы, которые маскируются под государственные и банковские сервисы, а также мессенджеры.

Атака начинается в два этапа. Вначале злоумышленники, используя приемы социальной инженерии, убеждают пользователя под видом полезной программы — например, приложения крупного банка, государственного или платежного сервиса — скачать вредоносное приложение. При открытии APK-файла у пользователя запрашивается разрешение на установку приложения из неизвестного источника.

Сразу после установки эта программа предлагает установить обновление с тем же названием. Однако под видом обновления полезного приложения на смартфон устанавливается FalconRAT.

При запуске троян запрашивает у пользователя доступ к службам Android Accessibility на устройстве. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями.

Получив доступ к этим службам, FalconRAT начинает автоматически проставлять разрешения, необходимые трояна для дальнейшей работы. Процесс автоматического запроса и предоставления разрешений для пользователя будет выглядеть как быстрое открытие и закрытие окон в смартфоне в течение нескольких секунд. С высокой вероятностью неопытный пользователь не увидит в этом ничего подозрительного.

Галя, у нас подмена!

FalconRAT предназначен для кражи данных более чем 30 популярных сервисов: банковских, государственных, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, бесконтактных платежей, заказа такси, покупки билетов и бронирования, российских почтовых и «облачных» сервисов.

Как происходит кража данных? Когда пользователь запускает одну из целевых программ, Falcon подменяет изображение на экране и открывает веб-страницу, стилизованную под конкретный сервис. Как только пользователь введет на такой фейковой странице логин, пароль и код двухфакторной аутентификации, эти данные сразу же отправляются к злоумышленникам.

Анализ кода позволил выяснить, что разработчики Falcon избегают атак на пользователей в США и Австралии: при запуске вредоносного приложения на устройствах из этих стран ВПО прекращает работу.

«В условиях бурного роста автоматизированных атак киберпреступникам необязательно похищать деньги: можно собрать определенный объем чувствительных данных, и это принесет больше выгоды. Возможность удаленного доступа к экрану и управления устройством — один из мощнейших инструментов злоумышленников, который входят в FalconRAT. Дополнительный функционал, который позволяет перекрывать экран пользователя черным окном, позволяет злоумышленникам скрыть свои действия от пользователя и препятствовать попыткам удаления ВПО», — говорит Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6.

Как защититься от FalconRAT

Рекомендации специалистов F6 для пользователей

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из СМС и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов.
• Скачивайте приложения только из официальных магазинов.
• Ограничьте доступ приложений на вашем мобильном устройстве к данным и выдаваемые им права.
• Никому не раскрывайте любые коды подтверждений, пароли и другую секретную информацию.
• Оперативно блокируйте банковские карты, меняйте пароли от сервисов и т.д. при их возможной компрометации.
• Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
• Не предоставляйте чувствительных разрешений приложениям, если не понимаете, с какой целью приложение его запрашивает. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accesibility («Специальные возможности»). FalconRAT демонстрирует, что одно такое разрешение способно дать вредоносному приложению возможность предоставить самому себе любые другие разрешения.
• Проверить устройство на наличие подозрительных приложений рекомендуется, если наблюдается странное поведение смартфона — автоматический запуск и/или завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран. Все вышеперечисленные признаки могут свидетельствовать об удаленном управлении или автоматизации работы вредоносного ПО с устройством.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• Учитывать данные геолокации пользователей.
• При использовании СМС для отправки OTP-кода реализовать механизмы проверки приложения, принимающего СМС на устройстве пользователя.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Реализовать меры по выявлению приложений, имеющих доступ к службам Accessibility.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.