Falcon атакует Android в России: троянец научился удалять антивирусы

Специалисты F6 зафиксировали новую волну атак на клиентов российских банков с использованием последней версии Android-троянца Falcon. По данным исследователей, к концу февраля 2026 года в России было уже более 10 тысяч зараженных смартфонов, а всего за две недели их количество выросло на 33%.

F6 впервые сообщила о новой волне подобных атак еще в ноябре 2025 года, а затем подробно рассказала о развитии кампании в феврале 2026 года. Сама Falcon не новичок. Это вредоносное ПО для Android, впервые обнаруженное еще в 2021 году, основанное на банковском троянце Anubis.

А вот версия 2026 года стала заметно опаснее: теперь это уже не просто инструмент для кражи логинов, паролей и кодов двухфакторной аутентификации, а практически универсальный «мастер-ключ» к учетным записям пользователей в мобильных сервисах.

Новый образец способен красть данные более чем 30 популярных приложений и имеет модуль VNC для удаленного управления устройствами.

Интересно также, что Falcon научился удалять антивирусы сразу после установки. А если пользователь все же попытается зайти в список приложений и удалить трояна вручную, вредоносная программа может просто перенаправить человека на главный экран. То есть наличие защитного приложения на Android уже не выглядит гарантией спокойствия.

Схема заражения троянца вполне знакома, но от этого не менее опасна. Злоумышленники распространяют APK-файлы через фишинговые сайты, маскирующиеся под госуслуги, банки и мессенджеры. Пользователю предлагается установить якобы полезное приложение, а затем одноименное «обновление».

Именно под видом такого обновления FalconRAT попадает на смартфон. После запуска троянец запрашивает доступ к службам специальных возможностей, а затем быстро выдает себе необходимые разрешения. Для пользователя это может выглядеть как хаотичное открытие и закрытие окон в течение нескольких секунд, что легко принять за обычный сбой.

Основной целью троянца являются данные. Когда пользователь открывает одно из целевых приложений, Falcon может подделать экран и отобразить поддельную веб-страницу, стилизованную под конкретную службу. Если человек вводит туда логин, пароль и 2FA-код, все это сразу теряется для злоумышленников. В F6 отмечают, что троянец нацелен не только на банковские приложения, но и на госуслуги, торговые площадки, социальные сети, мессенджеры, службы такси, службы бронирования, облачные платформы, магазины приложений, YouTube и даже VPN.

Интересная деталь из анализа кода: разработчики Falcon, по данным F6, избегают атак на пользователей из США и Австралии. Если троянец запускается на устройстве из этих стран, он перестает работать. Это не редкость для некоторых семейств вредоносных программ, но все равно выглядит существенно.