Опасный Android-троян Falcon охотится на пользователей в России

Специалисты F6 сообщили о новой волне атак с использованием банковского Android-трояна Falcon. С конца 2025 года злоумышленники с его помощью похищают деньги и данные банковских карт клиентов крупнейших финансовых организаций России.

По данным F6, Falcon нацелен на более чем 30 приложений — от мобильных банков и инвестиционных сервисов до госсервисов, маркетплейсов, мессенджеров и приложений для бесконтактных платежей.

Уже сейчас, по оценкам аналитиков, скомпрометированы данные нескольких тысяч банковских карт.

Falcon — вредоносная программа для Android, впервые обнаруженная ещё в 2021 году. Она основана на банковском трояне Anubis и со временем заметно «прокачалась».

Если раньше зловред в основном маскировался под приложения российских банков, то с 2025 года злоумышленники используют обновлённую версию Falcon. В неё добавили модуль VNC для удалённого управления устройством, а также возможность передавать украденные данные через Telegram.

В начале 2026 года специалисты департаментов Threat Intelligence и Fraud Protection компании F6 зафиксировали новые образцы Falcon, ориентированные именно на пользователей Android в России.

При установке Falcon запрашивает доступ к сервису Android Accessibility — легитимному механизму, предназначенному для помощи людям с ограниченными возможностями. Если пользователь выдаёт это разрешение, троян получает практически неограниченный контроль над устройством.

Злоумышленники могут:

• читать, отправлять и удалять СМС;
• перехватывать коды подтверждения;
• совершать телефонные звонки;
• получать доступ к контактам;
• выполнять USSD-запросы и операции через мобильный банк даже без подключения к интернету.

Это позволяет обходить двухфакторную аутентификацию и проводить финансовые операции от имени жертвы.

Falcon работает по классической, но всё ещё эффективной схеме. Когда пользователь запускает одно из целевых приложений — будь то банк, маркетплейс или мессенджер, — троян накладывает поверх него фейковое окно с практически идентичным дизайном.

В результате пользователь сам вводит данные банковской карты, логины и пароли, даже не подозревая, что работает уже не с настоящим приложением.

Как отмечают в F6, Falcon выгодно отличается от других троянов, которые используются против пользователей в России.

«Falcon значительно более автоматизирован, чем многие другие зловреды, например Mamont. Это редкий тип инструмента в арсенале киберпреступников, но уже сейчас видно, какой ущерб он может нанести банкам и их клиентам», — поясняет Елена Шамшина, руководитель департамента Threat Intelligence компании F6.

По её словам, счёт уже идёт на тысячи скомпрометированных карт, и без дополнительных мер защиты масштабы атак могут вырасти.

Эксперты напоминают: установка приложений только из официальных источников, внимательное отношение к запрашиваемым разрешениям и отказ от выдачи доступа к Accessibility — по-прежнему один из ключевых способов снизить риск заражения.