Аналитики компании F6 зафиксировали новую волну атак с использованием банковского трояна Falcon. С конца 2025 года этот вредонос нацелен на деньги и данные банковских карт ведущих финансовых организаций в России. По оценкам исследователей, злоумышленники уже скомпрометировали несколько тысяч карт.
Впервые Falcon появился летом 2021 года и был построен на базе другого Android-вредоноса — Anubis. Тогда малварь похищала данные со взломанных устройств, получая команды с управляющего сервера. Летом 2022 года Falcon маскировался под приложения российских банков, а в 2025 году злоумышленники добавили малвари VNC-модуль для удаленного управления девайсом жертвы, а также возможность передавать украденные данные через Telegram.
Троян нацелен на более чем 30 приложений российских банков и инвестиционных фондов, госсервисов, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, приложения для бесконтактных платежей, заказа такси, покупки билетов и бронирования, приложения российских почтовых и «облачных» сервисов, YouTube, а также VPN.
Сценарий заражения классический для Android-угроз. При установке вредоносное приложение запрашивает доступ к Accessibility services, и если пользователь предоставляет разрешение, малварь получает полный контроль над устройством, включая доступ к контактам, SMS, инициирование звонков.
Хакеры используют данные из SMS, чтобы обходить двухфакторную аутентификацию и осуществлять операции через мобильный банкинг даже в отсутствие интернета — с помощью USSD-запросов.
Когда жертва запускает одно из целевых приложений, Falcon отображает поверх него фальшивую страницу с похожим дизайном, а затем перехватывает данные карты или учетные данные, которые вводит пользователь.
«В отличие от других троянов удаленного доступа, которые используют в атаках на пользователей в России, например Mamont, Falcon более автоматизированный, что делает этот вид малвари еще опаснее. Такой тип вредоноса редко встречается в арсенале злоумышленников, но мы уже видим, какой урон он может нанести банкам и их клиентам, если не принять меры для защиты и не соблюдать правила безопасности», — комментирует Елена Шамшина, руководитель департамента Threat Intelligence компании F6.