Компания F6, российский разработчик технологий для борьбы с киберугрозами, фиксирует рост атак на клиентов ведущих российских банков с использованием новой версии Android-трояна Falcon. В конце февраля 2026 года в России насчитывалось более 10 тыс. смартфонов, скомпрометированных этим вредоносным приложением, всего за две недели их число увеличилось на 33%. Falcon позволяет киберпреступникам похищать данные более чем 30 популярных мобильных сервисов и полностью управлять устройством пользователя. Особенность трояна – высокий уровень защиты от антивирусов: Falcon может удалять такие приложения сразу после собственной установки.

Универсальная отмычка

Новую волну атак на пользователей в России с использованием банковского Android-трояна Falcon специалисты F6 впервые зафиксировали в ноябре 2025 года. Аналитики департамента киберразведки F6 Threat Intelligence сообщили об этом в начале февраля 2026-го. Сегодня эксперты департамента противодействия финансовому мошенничеству F6 Fraud Protection представили результаты исследования образцов вредоносного приложения.

Falcon — вредоносная программа для операционной системы Android, впервые обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений. В отличие от трояна Mamont и вредоносных версий легитимного приложения NFCGate, которые злоумышленники изначально создавали для кражи денег с банковских счетов пользователей, Falcon предназначается в первую очередь для кражи данных (логинов, паролей и кодов двухфакторной аутентификации).

Главный вывод исследования: Falcon образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в популярных банковских сервисах и других приложениях. Новая версия ВПО стала ещё опаснее: в приложение добавили не только модуль VNC (Virtual Network Computing) для удалённого управления устройством пользователя, но и систему защиты от антивирусов.

Falcon может удалять антивирусы с устройства сразу после собственной установки. А если пользователь попытается просмотреть список программ и удалить вредоносное приложение, то троян будет этому мешать и переключаться на главный экран. Так что наличие антивируса на Android-устройстве не гарантирует его безопасности при атаке с использованием Falcon.

Особенно опасен Falcon для обычных пользователей. Действия вредоносного приложения, которые приводят к получению контроля над устройством и краже чувствительных данных, малозаметны и порой могут казаться незначительными техническими сбоями в работе смартфона.

По данным F6 на конец февраля, в России насчитывалось более 10 тыс. Android-устройств, скомпрометированных трояном Falcon. Всего за две недели их число увеличилось на 33% и продолжает расти.

Доступ разрешён

Аналитики F6 выяснили: злоумышленники распространяют APK-файл через фишинговые веб-ресурсы, которые маскируются под государственные и банковские сервисы, а также мессенджеры.

Атака начинается в два этапа. Вначале злоумышленники, используя приёмы социальной инженерии, убеждают пользователя под видом полезной программы – например, приложения крупного банка, государственного или платёжного сервиса – скачать вредоносное приложение. При открытии APK-файла у пользователя запрашивается разрешение на установку приложения из неизвестного источника.

Сразу после установки эта программа предлагает установить обновление с тем же названием. Однако под видом обновления полезного приложения на смартфон устанавливается FalconRAT.

При запуске троян запрашивает у пользователя доступ к службам Android Accessibility на устройстве. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями.

Получив доступ к этим службам, FalconRAT начинает автоматически проставлять разрешения, необходимые трояна для дальнейшей работы. Процесс автоматического запроса и предоставления разрешений для пользователя будет выглядеть как быстрое открытие и закрытие окон в смартфоне в течение нескольких секунд. С высокой вероятностью неопытный пользователь не увидит в этом ничего подозрительного.

Галя, у нас подмена!

FalconRAT предназначен для кражи данных более чем 30 популярных сервисов: банковских, государственных, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, бесконтактных платежей, заказа такси, покупки билетов и бронирования, российских почтовых и «облачных» сервисов, YouTube, а также VPN.

Как происходит кража данных? Когда пользователь запускает одну из целевых программ, Falcon подменяет изображение на экране и открывает веб-страницу, стилизованную под конкретный сервис. Как только пользователь введёт на такой

фейковой странице логин, пароль и код двухфакторной аутентификации, эти данные сразу же отправляются к злоумышленникам.

Анализ кода позволил выяснить, что разработчики Falcon избегают атак на пользователей в США и Австралии: при запуске вредоносного приложения на устройствах из этих стран ВПО прекращает работу.

«В условиях бурного роста автоматизированных атак киберпреступникам необязательно похищать деньги: можно собрать определённый объём чувствительных данных, и это принесёт больше выгоды. Возможность удалённого доступа к экрану и управления устройством – один из мощнейших инструментов злоумышленников, который входят в FalconRAT. Дополнительный функционал, который позволяет перекрывать экран пользователя чёрным окном, позволяет злоумышленникам скрыть свои действия от пользователя и препятствовать попыткам удаления ВПО», – говорит Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6. Подробности – в новом блоге на сайте F6.

Как защититься от FalconRAT

Рекомендации специалистов F6 для пользователей

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.

• Не переходите по ссылкам из СМС и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.

• Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов.

• Скачивайте приложения только из официальных магазинов.

• Ограничьте доступ приложений на вашем мобильном устройстве к данным и выдаваемые им права.

• Никому не раскрывайте любые коды подтверждений, пароли и другую секретную информацию.

• Оперативно блокируйте банковские карты, меняйте пароли от сервисов и т.д. при их возможной компрометации.

• Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

• Не предоставляйте чувствительных разрешений приложениям, если не понимаете, с какой целью приложение его запрашивает. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accesibility («Специальные возможности»). FalconRAT демонстрирует, что одно такое разрешение способно дать вредоносному приложению возможность предоставить самому себе любые другие разрешения.

Проверить устройство на наличие подозрительных приложений рекомендуется, если наблюдается странное поведение смартфона — автоматический запуск и/или завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран. Все вышеперечисленные признаки могут свидетельствовать об удаленном управлении или автоматизации работы вредоносного ПО с устройством.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• Учитывать данные геолокации пользователей.

• При использовании СМС для отправки OTP-кода реализовать механизмы проверки приложения, принимающего СМС на устройстве пользователя.

• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.

• Реализовать меры по выявлению приложений, имеющих доступ к службам Accessibility.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.