Опасный ренессанс: банковский троян Falcon обзавёлся VNC и Telegram-экспортом, угрожая десяткам тысяч устройств в России

В начале 2026 года специалисты по кибербезопасности столкнулись с масштабной и технологически обновлённой волной атак, нацеленных на пользователей Android в России. В центре внимания оказался хорошо известный, но кардинально модернизированный банковский троян под названием Falcon, который превратился из инструмента кражи данных в многофункциональное оружие для полного контроля над устройством. По данным на конец февраля, уже более 10 тысяч Android-смартфонов в стране были скомпрометированы этой вредоносной программой, что сигнализирует о серьёзной эскалации угрозы для частных лиц и организаций.

Описание

Изначально обнаруженный ещё в 2021 году и основанный на коде трояна Anubis, Falcon традиционно фокусировался на хищении учётных данных. Однако образцы, проанализированные в начале текущего года, демонстрируют качественный скачок в развитии вредоноса. Ключевым нововведением стал модуль VNC, предоставляющий злоумышленникам возможность удалённого управления экраном заражённого устройства в реальном времени. Кроме того, троян получил функцию прямой отправки похищенной информации через мессенджер Telegram, что упрощает и ускоряет работу киберпреступников. Эти и другие усовершенствования трансформировали Falcon в высокоадаптивную угрозу, способную не только красть данные, но и активно оперировать на устройстве жертвы.

Механизм атаки начинается с социальной инженерии. Пользователям через фишинговые сайты, маскирующиеся под государственные или банковские сервисы, либо через мессенджеры предлагается установить APK-файл. Это приложение-дроппер, которое, в свою очередь, загружает и устанавливает основной вредоносный модуль под видом обновления легитимного программного обеспечения, например, платёжного сервиса. После установки троян настойчиво, с помощью непрерывных push-уведомлений, вынуждает пользователя предоставить доступ к службе специальных возможностей (Accessibility). Этот доступ является краеугольным камнем всей атаки, поскольку позволяет вредоносной программе автоматически предоставлять себе все остальные необходимые разрешения, включая чтение SMS, отправку сообщений и игнорирование оптимизации батареи, без ведома владельца устройства.

Особую изощрённость демонстрирует подход к обходу встроенных средств защиты. Falcon активно противодействует попыткам пользователя его обнаружить или удалить. Вредоносная программа отслеживает открытие системных меню, таких как список приложений в настройках или встроенные чистильщики и антивирусы от производителей смартфонов, и автоматически закрывает их, возвращая пользователя на главный экран. Аналитики [отмечают], что троян логирует подобные попытки и отправляет отчёты на управляющий сервер, демонстрируя высокий уровень осведомлённости о действиях жертвы. Это делает Falcon крайне устойчивым к ручному удалению даже технически подкованными пользователями.

Основная опасность обновлённого Falcon заключается в его универсальности. Он нацелен на кражу данных из более чем 30 категорий приложений, включая клиенты крупнейших российских банков, государственные сервисы, маркетплейсы, социальные сети и мессенджеры. Механизм веб-инжекта позволяет трояну в реальном времени подменять интерфейсы легитимных приложений фишинговыми страницами. Когда пользователь вводит на такой странице логин, пароль или код подтверждения, данные мгновенно перехватываются и отправляются злоумышленникам. При этом наличие на устройстве классического антивируса не является гарантией защиты, так как Falcon способен самостоятельно удалять конкурирующие security-решения.

Полученный контроль над устройством открывает для киберпреступников широкий спектр дальнейших действий. Команды, получаемые с управляющего сервера, позволяют инициировать звонки, рассылать SMS-спам по контактам жертвы, удалять или запускать приложения, а также перенаправлять вызовы и сообщения для перехвата одноразовых паролей. Модуль VNC превращает смартфон в инструмент для шпионажа или проведения мошеннических операций непосредственно с устройства жертвы, например, для авторизации в банковских приложениях. Возможность смены адреса управляющего сервера обеспечивает устойчивость ботнета даже в случае блокировки части инфраструктуры.

Для эффективного противодействия подобным угрозам необходимы комплексные меры. Пользователям категорически не рекомендуется устанавливать приложения из непроверенных источников, переходить по ссылкам в подозрительных сообщениях и предоставлять приложениям, особенно малознакомым, доступ к службе специальных возможностей. Любые странности в работе смартфона, такие как самопроизвольное сворачивание приложений или быстрые всплывающие окна запросов прав, должны стать поводом для проверки устройства. Банкам и финансовым организациям, в свою очередь, следует усиливать многофакторную аутентификацию, внедрять механизмы анализа поведения и сессии пользователя, а также реализовывать в своих мобильных приложениях защиту от вмешательства стороннего ПО, имеющего расширенные права. Возрождение и усиление таких угроз, как Falcon, подчёркивает, что киберпреступники не только следят за трендами, но и активно инвестируют в развитие старых инструментов, делая их более опасными и скрытными.