Клиентов российских банков атакуют новой версией Android-трояна Falcon

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну атак с использованием банковского Android-трояна Falcon. С конца 2025 года злоумышленники, использующие это вредоносное ПО, похищают деньги и данные банковских карт ведущих финансовых организаций России. Троян нацелен на кражу данных из более чем 30 приложений российских банков и популярных сервисов. По данным F6, киберпреступники, использующие Falcon, уже скомпрометировали данные нескольких тысяч банковских карт.

Аналитики департамента киберразведки (Threat Intelligence) и департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 в начале 2026 года обнаружили образцы вредоносной программы Falcon, которая атакует пользователей Android из России.

Falcon — вредоносная программа для Android, обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений. С 2025 года злоумышленники атакуют клиентов российских банков при помощи новой версии Falcon – в неё добавлен модуль VNC для удалённого управления устройством пользователя, а также возможность отправлять скомпрометированные данные через Telegram.

При установке вредоносное приложение запрашивает доступ к стандартному сервису Android Accessibility. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями. Если пользователь выдаёт ВПО необходимое разрешение, оно получает полную власть над устройством. В том числе – доступ к контактам, возможность перехватывать, читать, отправлять и удалять СМС, инициировать телефонные звонки. Злоумышленники могут использовать данные из СМС для выполнения различных вредоносных действий, включая кражу контактной информации, обход двухфакторной аутентификации и другие, а также выполнять USSD-запросы и совершать операции через мобильный банк без подключения к интернету.

ВПО Falcon нацелено на более чем 30 приложений ведущих российских банков и инвестиционных фондов, госсервисов, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, приложения для бесконтактных платежей, заказа такси, покупки билетов и бронирования, приложения российских почтовых и «облачных» сервисов, YouTube, а также VPN.

При запуске одного из этих приложений на устройстве, заражённом Falcon, вредоносная программа запускает поверх легитимного приложения фейковую страницу со схожим дизайном и перехватывает данные банковской карты или логины и пароли, которые вводит пользователь.

«В отличие от других троянов удалённого доступа, которые используют в атаках на пользователей в России, например, Mamont, Falcon более автоматизированный, что делает этот вид вредоносной программы ещё опаснее. Такой тип вредоносной программы редко встречается в арсенале злоумышленников, но мы уже видим, какой урон он может нанести банкам и их клиентам, если не принять меры для защиты и не соблюдать правила безопасности. По нашим оценкам, уже скомпрометированы несколько тысяч карт разных российских банков», — отмечает Елена Шамшина, руководитель департамента Threat Intelligence компании F6.

Рекомендации специалистов F6 банковским клиентам по защите от вредоносных приложений

• Скачивайте приложения только из официальных магазинов.
• Не открывайте и не скачивайте подозрительные файлы, не переходите по непроверенным ссылкам, полученным из различных источников, включая почту, СМС, чаты в мессенджерах и др.
• Ограничьте доступ приложений к данным и выдаваемые им права.
• Никому не раскрывайте коды подтверждений, пароли и другую секретную информацию.
• Оперативно блокируйте банковские карты, менять пароли от сервисов и т.д. при их возможной компрометации.