Соколиный сглаз: клиентов российских банков атакуют новой версией Android-трояна Falcon

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну атак с использованием банковского Android-трояна Falcon. С конца 2025 года злоумышленники, использующие это вредоносное ПО, похищают деньги и данные банковских карт ведущих финансовых организаций России. Троян нацелен на кражу данных из более чем 30 приложений российских банков и популярных сервисов. По данным F6, киберпреступники, использующие Falcon, уже скомпрометировали данные нескольких тысяч банковских карт.

Аналитики департамента киберразведки (Threat Intelligence) и департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 в начале 2026 года обнаружили образцы вредоносной программы Falcon, которая атакует пользователей Android из России.

Falcon — вредоносная программа для Android, обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений. С 2025 года злоумышленники атакуют клиентов российских банков при помощи новой версии Falcon – в неё добавлен модуль VNC для удалённого управления устройством пользователя, а также возможность отправлять скомпрометированные данные через Telegram.

При установке вредоносное приложение запрашивает доступ к стандартному сервису Android Accessibility. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями. Если пользователь выдаёт ВПО необходимое разрешение, оно получает полную власть над устройством. В том числе – доступ к контактам, возможность перехватывать, читать, отправлять и удалять СМС, инициировать телефонные звонки. Злоумышленники могут использовать данные из СМС для выполнения различных вредоносных действий, включая кражу контактной информации, обход двухфакторной аутентификации и другие, а также выполнять USSD-запросы и совершать операции через мобильный банк без подключения к интернету.

ВПО Falcon нацелено на более чем 30 приложений ведущих российских банков и инвестиционных фондов, госсервисов, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, приложения для бесконтактных платежей, заказа такси, покупки билетов и бронирования, приложения российских почтовых и «облачных» сервисов, YouTube, а также VPN.

При запуске одного из этих приложений на устройстве, заражённом Falcon, вредоносная программа запускает поверх легитимного приложения фейковую страницу со схожим дизайном и перехватывает данные банковской карты или логины и пароли, которые вводит пользователь.

«В отличие от других троянов удалённого доступа, которые используют в атаках на пользователей в России, например, Mamont, Falcon более автоматизированный, что делает этот вид вредоносной программы ещё опаснее. Такой тип вредоносной программы редко встречается в арсенале злоумышленников, но мы уже видим, какой урон он может нанести банкам и их клиентам, если не принять меры для защиты и не соблюдать правила безопасности. По нашим оценкам, уже скомпрометированы несколько тысяч карт разных российских банков».

Елена Шамшина

Руководитель департамента Threat Intelligence компании F6

Рекомендации специалистов F6 банковским клиентам по защите от вредоносных приложений

• Скачивайте приложения только из официальных магазинов.
• Не открывайте и не скачивайте подозрительные файлы, не переходите по непроверенным ссылкам, полученным из различных источников, включая почту, СМС, чаты в мессенджерах и др.
• Ограничьте доступ приложений к данным и выдаваемые им права.
• Никому не раскрывайте коды подтверждений, пароли и другую секретную информацию.
• Оперативно блокируйте банковские карты, менять пароли от сервисов и т.д. при их возможной компрометации.