Поделиться
Соколиный сглаз: клиентов российских банков атакуют новой версией Android-трояна Falcon
Компания F6, разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну атак с использованием банковского Android-трояна Falcon. С конца 2025 г. злоумышленники, использующие это вредоносное ПО, похищают деньги и данные банковских карт ведущих финансовых организаций России. Об этом CNews сообщили представители F6.
Троян нацелен на кражу данных из более чем 30 приложений российских банков и популярных сервисов. По данным F6, киберпреступники, использующие Falcon, уже скомпрометировали данные нескольких тысяч банковских карт.
Аналитики департамента киберразведки (Threat Intelligence) и департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 в начале 2026 г. обнаружили образцы вредоносной программы Falcon, которая атакует пользователей Android из России.
Falcon — вредоносная программа для Android, обнаруженная в июле 2021 г. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 г. ВПО распространяли под видом российских банковских приложений. С 2025 г. злоумышленники атакуют клиентов российских банков при помощи новой версии Falcon – в нее добавлен модуль VNC для удаленного управления устройством пользователя, а также возможность отправлять скомпрометированные данные через Telegram.
При установке вредоносное приложение запрашивает доступ к стандартному сервису Android Accessibility. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями. Если пользователь выдает ВПО необходимое разрешение, оно получает полную власть над устройством. В том числе – доступ к контактам, возможность перехватывать, читать, отправлять и удалять SMS, инициировать телефонные звонки. Злоумышленники могут использовать данные из SMS для выполнения различных вредоносных действий, включая кражу контактной информации, обход двухфакторной аутентификации и другие, а также выполнять USSD-запросы и совершать операции через мобильный банк без подключения к интернету.
ВПО Falcon нацелено на более чем 30 приложений ведущих российских банков и инвестиционных фондов, госсервисов, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, приложения для бесконтактных платежей, заказа такси, покупки билетов и бронирования, приложения российских почтовых и «облачных» сервисов, YouTube, а также V*N.
При запуске одного из этих приложений на устройстве, зараженном Falcon, вредоносная программа запускает поверх легитимного приложения поддельную страницу со схожим дизайном и перехватывает данные банковской карты или логины и пароли, которые вводит пользователь.
«В отличие от других троянов удаленного доступа, которые используют в атаках на пользователей в России, например, Mamont, Falcon более автоматизированный, что делает этот вид вредоносной программы еще опаснее. Такой тип вредоносной программы редко встречается в арсенале злоумышленников, но мы уже видим, какой урон он может нанести банкам и их клиентам, если не принять меры для защиты и не соблюдать правила безопасности. По нашим оценкам, уже скомпрометированы несколько тысяч карт разных российских банков», — отметила Елена Шамшина, руководитель департамента Threat Intelligence компании F6.
Рекомендации специалистов F6 банковским клиентам по защите от вредоносных приложений
Скачивайте приложения только из официальных магазинов.
Не открывайте и не скачивайте подозрительные файлы, не переходите по непроверенным ссылкам, полученным из различных источников, включая почту, SMS, чаты в мессенджерах и др.
Ограничьте доступ приложений к данным и выдаваемые им права.
Никому не раскрывайте коды подтверждений, пароли и другую секретную информацию.
Оперативно блокируйте банковские карты, менять пароли от сервисов и т.д. при их возможной компрометации.
Короткая ссылка
