К концу февраля более 10 тысяч смартфонов россиян оказались заражены вредоносной программой Falcon 2026 года для Android. Вредоносное ПО позволяет злоумышленникам дистанционно управлять устройствами и похищать данные из более чем 30 различных мобильных сервисов, среди которых VPN, предупредила компании F6, специализирующаяся на кибербезопасности.

Что такое Falcon

Falcon то Android-троян, модернизированный из версии 2021 года (основан на Anubis). Программа представляет собой многофункциональный инструмент («швейцарский нож») для кражи денег и шпионажа. При этом действия трояна малозаметны и хорошо замаскированы для пользователя, и их часто списывают на «глюки» смартфона.

Как Falcon работает и забирает контроль над устройством

 Злоумышленники маскируют вредоносное ПО под сервисы банков, госструктур, платежных сервисов и VPN, а затем распространяют APK-приложения с помощью фишинговых сайтов и поддельных ссылок, которые присылают в мессенджеры.

Пользователя просят подтвердить установку подозрительного приложения их внешнего источника. И под воздействием социальной инженерии владелец смартфона может продолжить установку вирусного ПО.

12

Фото: F6

Схема заражения проходит в несколько этапов. После установки вредоносного приложения пользователь начинает получать уведомления, которые имитируют «обновления», а предупреждения о неизвестном источнике якобы «стандартная» процедура.

3

Фото: F6

Далее push может приходить навязчиво часто, буквально заставляя пользователя согласится и предоставить доступ.

4

Фото: F6

Троян вынуждает пользователя включить доступ к сервисам Accessibility (сервис Android, предназначенный для помощи пользователям с ограниченными возможностями). Как только доступ к Accessibility, или специальным возможностям, получен, троян сам, без ведома пользователя, быстро «кликает» по всем нужным разрешениям: чтение SMS, работа в фоне и т. д.

65

Фото: F6

Кража данных через «инжекты»

Инжект — это техника атаки, при которой вирусное ПО внедряет свой код в веб-страницы, отображаемые на устройстве жертвы, с целью перехвата данных или подмены информации в реальном времени. То есть в момент запуска настоящего банковского приложения (или другого сервиса) Falcon подменяет его экран своей фишинговой веб-страницей, визуально неотличимой от оригинала.

С помощью такой манипуляции злоумышленники похищают логины, пароли, номера карт, CVV и другую информацию. Троян может превратить смартфон жертвы в устройство с удаленным доступом.

7

10

8

Злоумышленник может: видеть экран в реальном времени, управлять устройством с помощью тапов, свайпов, скрывать свои действия, накладывая черный экран поверх настоящего, перехватывать SMS и push-уведомления, отправлять SMS для атак на окружение, а также удалить антивирус и другие мешающие приложения.

Примечательно, что троян не хочет быть удаленным, поэтому может «снести» антивирусные приложения сразу после установки. И если пользователь пытается зайти в настройки, чтобы удалить сомнительное приложение или отозвать разрешения, Falcon немедленно «выбрасывает» его на главный экран. Также этот троян отслеживает попытки запуска встроенных сервисов по очистке и блокирует их.

Как защититься?

  • Не переходите по подозрительным ссылкам из сообщений от незнакомцев.
  • Не устанавливайте приложения из непроверенных источников (только RuStore, Google Play).
  • Не удаляйте банковские приложения по запросу третьих лиц, потому что они могут защитить вас от действий мошенников.
  • Никогда не предоставляйте доступ к сервису Accessibility (Специальные возможности), если вы не уверены в их назначении на 100%.

Будьте бдительны и предупредите близких!

Если приложение начинает запрашивать массу разрешений и странно себя ведет — это тревожный сигнал. Falcon — это не просто вредоносное ПО, а продвинутый инструмент киберпреступников для полного контроля над смартфоном.

Хотите опубликовать свой разбор на сайте «Лапша Медиа»? Как это сделать — подробно рассказываем здесь.