В ноябре 2025 года специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали новую волну атак на пользователей в России с использованием банковского Android-трояна Falcon. Впервые об этом специалисты F6 сообщили в начале февраля 2026-го. По данным F6 на конец февраля, в России насчитывалось более 10 тыс. Android-устройств, скомпрометированных трояном Falcon.
Falcon — вредоносная программа для операционной системы Android, впервые обнаруженная в июле 2021 года. Основана на банковском трояне Anubis. Falcon похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера. Летом 2022 года ВПО распространяли под видом российских банковских приложений.
Образцы этой вредоносной программы аналитики департамента киберразведки (Threat Intelligence) и департамента Fraud Protection обнаружили в начале 2026 года. Исследование показало: по сравнению с версией трёхлетней давности новый Falсon серьёзно усовершенствовали. В приложение добавили модуль VNC для удалённого управления устройством пользователя, возможность отправлять скомпрометированные данные через Telegram – и это лишь малая часть изменений, которые превратили хорошо забытое ВПО в очень опасного монстра.
В отличие от трояна Mamont и вредоносных версий легитимного приложения NFCGate, которые злоумышленники изначально создавали для кражи денег с банковских счетов пользователей, Falcon предназначался в первую очередь для кражи данных. Однако версия Falcon образца 2026 года напоминает высокотехнологичный швейцарский нож, которым киберпреступники могут воспользоваться не только для кражи ключа от квартиры, где «деньги лежат», так и для хищения кошелька, и для шпионажа. Особая опасность новой версии трояна – в том, что для неопытного пользователя его действия, которые приводят к получению контроля над устройством и краже чувствительных данных, малозаметны и порой могут казаться «глюками» в работе Android-смартфона.
Само вредоносное приложение FalconRAT мимикрирует под приложения крупных банков, государственных структур, платёжные сервисы, а также VPN-сервисы, подменяя название приложения и его интерфейс. Falcon нацелен на кражу данных более чем 30 приложений ведущих российских банков и инвестиционных фондов, госсервисов, операторов сотовой связи, маркетплейсов, социальных сетей и мессенджеров, включая зарубежные, магазинов приложений, популярных сервисов бесплатных объявлений, приложения для бесконтактных платежей, заказа такси, покупки билетов и бронирования, приложения российских почтовых и «облачных» серв��сов, YouTube, а также VPN.
Проще говоря, вредоносное приложение действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в самых разных сервисах. Для этого Falcon в момент запуска целевых приложений подменяет изображение на экране, открывая веб-страницу, стилизованную под конкретный сервис. Как только пользователь введёт на такой фейковой странице логин, пароль и код двухфакторной аутентификации, эти данные сразу же отправляются к злоумышленникам.
Аналитики F6 отмечают крайне высокий уровень защиты ВПО от антивирусов. Falcon может удалять антивирусы с устройства сразу после собственной установки, а также препятствует пользователю в использовании встроенных механизмов для анализа устройства и удаления вредоносного приложения. Так что наличие антивируса на Android-устройстве пользователя не гарантирует его безопасности при атаке с использованием Falcon. Защита RAT от антифрод-систем куда слабее: для их обхода разработчики ВПО используют смену названий пакетов и высокий уровень обфускации трояна.
Специалисты F6 исследовали несколько обнаруженных образцов FalconRAT, изучили функционал и возможности ВПО. Полная версия блога, в котором эксперты поделились результатами исследования - на сайте F6.
Процесс установки Falcon RAT
Процесс установки FalconRAT начинается с установки дроппера — приложения, которое инициирует установку непосредственно самого ВПО.
Злоумышленники производят распространяют такие APK-файлы через фишинговые веб-ресурсы, мимикрирующие под государственные или банковские сервисы, а также мессенджеры. При открытии APK-файла у пользователя запрашивается разрешение на установку приложения из неизвестного источника.
Сервис Google Play Protect детектирует ряд образцов дроппера как подозрительное приложение. Однако под воздействием социальной инженерии пользователь может обойти блокировку установки вредоносного приложения и продолжить её.
Однако далее, после установки дроппера, мимикрирующего под платёжный сервис, встроенные тесты безопасности Android никаких угроз в нём уже не обнаруживают и предлагают пользователю запустить это приложение.
Сразу после установки и запуска приложения-дроппера пользователю демонстрируется веб-страница (webview), информирующая о необходимости обновить приложение «***Pay», под видом которого будет загружен APK-файл непосредственно ВПО Falcon.
После нажатия на кнопку загрузки в webview происходит скачивание со стороннего веб-ресурса APK-файла вредоносного приложения, которое сопровождается запросом разрешения на установку из сторонних источников для уже установленного приложения-дроппера. Для пользователя это выглядит как запрос на установку обновления уже установленного приложения платёжного сервиса.
Предоставление разрешений ВПО
Сразу после установки фейкового «обновления» вредоносное приложение инициирует создание push-уведомления раз в несколько секунд, которое начинает появляться на экране и тем самым настойчиво вынуждает пользователя кликнуть на него под предлогом «включения доступа».
После того, как пользователь нажимает на это уведомление, ВПО запрашивает доступ к Accessibility-службам на устройстве.
Android Accessibility – стандартный сервис, встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями.
Перед запросом доступа к Accessibility-службам вредоносное приложение демонстрирует веб-страницу, которая демонстрирует процесс предоставления таких прав. Дизайн веб-страницы визуально схож с дизайном реальной страницы настроек, в которой осуществляется управление службой Accessibility.
Анализ программного кода ВПО показывает, что веб-страница загружается с управляющего сервера по адресу: https://hot-mango[.]com/alone/api/api.php?get_manual=NWQwZGVhZmMxMWU3MDljMTFjYzNmZmY3MTA0YmEyMzM1ZTY3ZDVjOQ==. Значение параметра get_manual является зашифрованным с помощью алгоритма RC4 значением xiaomi_miui_9_13_ver . Кроме данного URI в коде вредоносного мобильного приложения обнаружены следующие URI:
https://hot-mango[.]com/alone/api/api.php?get_manual=NTMwZGZkZmMyM2JiMDk5ZDQ2ZTllMGNkNWI= (зашифрованное значение — vivo_5_13_ver);
https://hot-mango[.]com/alone/api/api.php?get_manual=NGQxMWVhZTQxOWU3MDk5OTJhODdhNWY3NWY3MWUx (зашифрованное значение — huawei_5_13_ver);
https://hot-mango[.]com/alone/api/api.php?get_manual=NTYwNWU2ZTAwOWUwMzFmMzQwZTlhNzliNzY2MmY2NzI= (зашифрованное значение — samsung_5_13_ver);
https://hot-mango[.]com/alone/api/api.php?get_manual=NTcwMWVhZmYxMWViMDljMzA1YzZmOWY3MWM0YmEyMzM1ZTY3ZDVjOQ== (зашифрованное значение — realme_oppo_5_13_ver);
https://hot-mango[.]com/alone/api/api.php?get_manual=NDEwMWVkZjIwOWUyMjJmMzE4ZDdmOGRkNDg3OA== (зашифрованное значение — default_manual);
https://hot-mango[.]com/alone/api/api.php?get_manual=NGIwYmY4ZmYxOWViMjZmMzA1ZGFlM2Nm (зашифрованное значение — nosleep_plug).
По каждому из вышеперечисленных URL находится веб-страница, которая демонстрирует пользователю смартфона конкретного производителя способ включения сервисов Accessibility. Webview с конкретной страницей демонстрируется в зависимости от производителя смартфона пользователя.
После просмотра веб-страницы с инструкцией по включению Accessibility-служб происходит перенаправление на настоящую страницу настроек сервиса Accessibility.
Перенаправление пользователя на страницу настроек производится путем вызова из JavaScript-кода открытой веб-страницы соответствующего метода Android-приложения, создающего intent (объект, который действует как посредник между компонентами приложений) для открытия нужного окна настроек.
Сразу после того, как пользователь предоставляет ВПО доступ к Accessibility-службам, автоматически происходит запрос и предоставление ряда разрешений, необходимых для работы вредоносного приложения.
Анализ программного кода Falcon RAT показал: механизм автоматического предоставления разрешений, необходимых для работы RAT, основан на поиске среди элементов интерфейса элемента со значением текстового поля «Разрешить» или «Всегда разрешать». При обнаружении такого элемента ВПО выполняет нажатие на него. Таким образом, процесс автоматического запроса и предоставления разрешений для пользователя будет выглядеть как быстрое открытие/закрытие окон в смартфоне в течение нескольких секунд. С высокой вероятностью неопытный пользователь не увидит в этом ничего подозрительного.
Среди предоставляемых автоматическим образом разрешений присутствуют следующие.
Чтение и отправку SMS («android.permission.SEND_SMS», «android.permission.RECEIVE_SMS», «android.permission.READ_SMS»).
Выключение оптимизации батареи (android.settings.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS).
Для Xiaomi-устройств реализована отдельная функция: она предоставляет разрешения через приложение «Безопасность», производя автоматический переход в раздел разрешений для установленного ВПО и установку всех разрешений для самого себя в состояние «Всегда разрешать». Для всех остальных приложений происходит перебор элементов разрешений с установкой каждого в состояние «Запретить» (вероятно, для того чтобы отключить необходимые права приложениям, предназначенным для защиты устройства).
Для устройств LG и Xiaomi реализована автоматическая процедура предоставления доступа к использованию батареи устройства без ограничений — тем самым ВПО предоставляет себе возможность по работе в фоновом режиме без риска завершения работы приложения операционной системой.
Атака на пользователя. Этап инжекта
Веб-инжект (внедрение кода) – техника атаки, при которой вредоносное ПО внедряет код своей веб-страницы, отображаемый на устройстве жертвы, с целью перехвата данных или подмены информации в реальном времени.
Когда все необходимые ВПО разрешения автоматическим образом предоставлены, приложение инициирует открытие webview-страницы. Запуск WebView осуществляется через FakeBankActivity путем обращения к веб-странице по адресу: «trello[.]com/1/cards/68430d745c8dc32198d196dd/attachments/68b9899ac099abe8a425ffae/download/ru_***pay.html».
На открывшейся веб-странице пользователю предлагается ввести данные карты для прохождения авторизации / прикрепления карты (в зависимости от того, под какое приложение замаскировано ВПО). После того, как пользователь вводит данные, из JavaScript на веб-странице происходит обращение к методу saveInjData мобильного приложения с передачей в качестве параметра строки с введенными пользователем данными.
Метод saveInjData производит отправку строки с перехваченными данными на управляющий сервер, а также в Telegram-канал злоумышленников, используя API Telegram-бота.
Примечательно, что для маскировки работы RAT на устройстве после отправки украденных данных ВПО один из исследуемых образцов открывает новое окно со ссылкой на страницу приложения ***Pay в официальном магазине приложений. Цель злоумышленников при совершении такого действия – заставить пользователя думать, что установленное приложение легитимно. Что, в свою очередь, позволяет предположить: кража чувствительных данных – это ещё не конец атаки, а всего лишь первый её этап.
Подробности исследования, индикаторы компрометации - в блоге на сайте F6.
