Специалисты F6 сообщили о новой волне атак с использованием банковского Android-трояна Falcon. С конца 2025 года злоумышленники с его помощью похищают деньги и данные банковских карт клиентов крупнейших финансовых организаций России.
По данным F6, Falcon нацелен на более чем 30 приложений — от мобильных банков и инвестиционных сервисов до госсервисов, маркетплейсов, мессенджеров и приложений для бесконтактных платежей.
Уже сейчас, по оценкам аналитиков, скомпрометированы данные нескольких тысяч банковских карт.
Falcon — вредоносная программа для Android, впервые обнаруженная ещё в 2021 году. Она основана на банковском трояне Anubis и со временем заметно «прокачалась».
Если раньше зловред в основном маскировался под приложения российских банков, то с 2025 года злоумышленники используют обновлённую версию Falcon. В неё добавили модуль VNC для удалённого управления устройством, а также возможность передавать украденные данные через Telegram.
В начале 2026 года специалисты департаментов Threat Intelligence и Fraud Protection компании F6 зафиксировали новые образцы Falcon, ориентированные именно на пользователей Android в России.
При установке Falcon запрашивает доступ к сервису Android Accessibility — легитимному механизму, предназначенному для помощи людям с ограниченными возможностями. Если пользователь выдаёт это разрешение, троян получает практически неограниченный контроль над устройством.
Злоумышленники могут:
- читать, отправлять и удалять СМС;
- перехватывать коды подтверждения;
- совершать телефонные звонки;
- получать доступ к контактам;
- выполнять USSD-запросы и операции через мобильный банк даже без подключения к интернету.
Это позволяет обходить двухфакторную аутентификацию и проводить финансовые операции от имени жертвы.
Falcon работает по классической, но всё ещё эффективной схеме. Когда пользователь запускает одно из целевых приложений — будь то банк, маркетплейс или мессенджер, — троян накладывает поверх него фейковое окно с практически идентичным дизайном.
В результате пользователь сам вводит данные банковской карты, логины и пароли, даже не подозревая, что работает уже не с настоящим приложением.
Как отмечают в F6, Falcon выгодно отличается от других троянов, которые используются против пользователей в России.
«Falcon значительно более автоматизирован, чем многие другие зловреды, например Mamont. Это редкий тип инструмента в арсенале киберпреступников, но уже сейчас видно, какой ущерб он может нанести банкам и их клиентам», — поясняет Елена Шамшина, руководитель департамента Threat Intelligence компании F6.
По её словам, счёт уже идёт на тысячи скомпрометированных карт, и без дополнительных мер защиты масштабы атак могут вырасти.
Эксперты напоминают: установка приложений только из официальных источников, внимательное отношение к запрашиваемым разрешениям и отказ от выдачи доступа к Accessibility — по-прежнему один из ключевых способов снизить риск заражения.
«Зафиксировав столь существенный процент умышленных утечек в российских финансовых организациях, мы опросили руководителей нескольких банковских учреждений разного размера. Примерно 2/3 опрошенных признали, что в течение года имели инциденты, связанные с хищениями клиентских баз, что нанесло довольно серьезный ущерб бизнесу. К сожалению, реальные данные могут быть еще хуже, поскольку банки предпочитают всячески скрывать подобную информацию, понимая серьезность угрозы их репутации», – констатирует Наталья Касперская, генеральный директор ГК InfoWatch.