Компания F6, российский разработчик технологий для борьбы с киберугрозами, фиксирует рост атак на клиентов ведущих российских банков с использованием новой версии Android-трояна Falcon. В конце февраля 2026 года в России насчитывалось более 10 тыс. смартфонов, скомпрометированных этим вредоносным приложением, всего за две недели их число увеличилось на 33%. Falcon позволяет киберпреступникам похищать данные более чем 30 популярных мобильных сервисов и полностью управлять устройством пользователя. Особенность трояна – высокий уровень защиты от антивирусов: Falcon может удалять такие приложения сразу после собственной установки.
Новую волну атак на пользователей в России с использованием банковского Android-трояна Falcon специалисты F6 впервые зафиксировали в ноябре 2025 года. Аналитики департамента киберразведки F6 Threat Intelligence сообщили об этом в начале февраля 2026-го. Сегодня эксперты департамента противодействия финансовому мошенничеству F6 Fraud Protection представили результаты исследования образцов вредоносного приложения.
Falcon — вредоносная программа для операционной системы Android, впервые обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений. В отличие от трояна Mamont и вредоносных версий легитимного приложения NFCGate, которые злоумышленники изначально создавали для кражи денег с банковских счетов пользователей, Falcon предназначается в первую очередь для кражи данных (логинов, паролей и кодов двухфакторной аутентификации).
Главный вывод исследования: Falcon образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в популярных банковских сервисах и других приложениях. Новая версия ВПО стала ещё опаснее: в приложение добавили не только модуль VNC (Virtual Network Computing) для удалённого управления устройством пользователя, но и систему защиты от антивирусов.
Falcon может удалять антивирусы с устройства сразу после собственной установки. А если пользователь попытается просмотреть список программ и удалить вредоносное приложение, то троян будет этому мешать и переключаться на главный экран. Так что наличие антивируса на Android-устройстве не гарантирует его безопасности при атаке с использованием Falcon.
Особенно опасен Falcon для обычных пользователей. Действия вредоносного приложения, которые приводят к получению контроля над устройством и краже чувствительных данных, малозаметны и порой могут казаться незначительными техническими сбоями в работе смартфона.
По данным F6 на конец февраля, в России насчитывалось более 10 тыс. Android-устройств, скомпрометированных трояном Falcon. Всего за две недели их число увеличилось на 33% и продолжает расти.
Аналитики F6 выяснили: злоумышленники распространяют APK-файл через фишинговые веб-ресурсы, которые маскируются под государственные и банковские сервисы, а также мессенджеры.
Атака начинается в два этапа. Вначале злоумышленники, используя приёмы социальной инженерии, убеждают пользователя под видом полезной программы – например, приложения крупного банка, государственного или платёжного сервиса – скачать вредоносное приложение. При открытии APK-файла у пользователя запрашивается разрешение на установку приложения из неизвестного источника.
