Весной 2026 года аналитики компании F6 (правопреемник F.A.C.C.T. и «российской части» Group-IB) зафиксировали новую волну атак Android-трояна Falcon — к концу февраля в стране насчитывалось уже более 10 тыс. заражённых смартфонов, и только за две недели это число выросло на 33%.
Цифра скромнее, чем у лидеров рынка, но в этом и парадокс: каждый отдельный троян — лишь фрагмент куда более системной картины. Интересен не сам Falcon, а то, что он показывает о происходящем со всем ландшафтом мобильных угроз в России.
Что именно умеет Falcon
Falcon был впервые обнаружен ещё в 2021 году на базе банковского трояна Anubis. Но версия образца 2026 года — это совершенно другой класс угрозы.
Троян крадёт данные более чем из 30 приложений: банки, госсервисы, маркетплейсы, мессенджеры, такси, облачные хранилища. В нём появился модуль VNC для удалённого управления устройством, а украденные данные теперь отправлялись через Telegram-бот.
Главная же новость — Falcon научился удалять антивирусы сразу после установки. А если пользователь попробует вручную снести зловред через настройки, троян просто перебрасывает его на главный экран. Антивирус на Android здесь уже не выглядит гарантией спокойствия.
Почему Falcon — это только верхушка
В декабре 2025 года F6 публиковала более широкую картину. По её оценкам, около 1,5% всех Android-устройств в России заражены вредоносным ПО — это примерно 1,5 млн смартфонов. И 47% этих заражений приходится на одно семейство — троян Mamont.
Только за ноябрь 2025-го ущерб клиентам российских банков от Mamont превысил 150 млн рублей, а средняя сумма списаний — около 30 тыс. рублей. Данные МВД подтверждают: во второй половине 2025 года на Mamont пришлось 38,7% мобильных заражений в банковском секторе, на «обратную» версию NFCGate — 52,4%.
Falcon, Mamont и NFCGate — не три независимых инцидента, а три точки на одной траектории.
Почему это происходит на самом деле
Сводить всё к «пользователи сами виноваты» — поверхностно. За волной стоит несколько вполне технических и экономических причин.
- Android Accessibility Services как универсальная отмычка. Механизм, созданный для людей с ограниченными возможностями, даёт приложению огромные полномочия: читать экран, имитировать нажатия, управлять интерфейсом. Троян получает одно разрешение — и за секунды выдаёт себе все остальные, подменяет окна банков фейковыми, блокирует удаление, обходит двухфакторную аутентификацию.
- Индустриализация мошенничества. Панели управления Mamont сдаются в аренду на теневых рынках примерно за 300 долларов в месяц. APK-файлы собирает отдельный билдер-бот, конфигурация делается через CRM-интерфейс, а сборка под конкретного пользователя с использованием ИИ занимает считаные минуты.
- Слабое звено каналов распространения. Российские пользователи всё чаще ставят приложения не из Google Play, а по ссылкам из соцсетей и домовых чатов. Троян приходит под видом «обновления Госуслуг», архива «фото аварии», улучшения для мессенджера или даже фейкового антивируса.
- Геополитический фактор. Код Falcon, по данным F6, отключается на устройствах из США и Австралии. Разработчики сознательно сужают таргетинг, чтобы не попадать под внимание западных лабораторий. В итоге российская аудитория оказывается на изолированном рынке, где трояны оттачиваются именно под неё — с учётом местных банков и интерфейсов Госуслуг.
Что это значит для рынка
Меняется сама экономика защиты. Если раньше мобильного антивируса было достаточно, то Falcon делает его первой целью, которую нужно устранить. Ответственность объективно смещается в сторону банков и сервисов: теперь именно им нужно распознавать аномальное поведение сессии, даже если устройство формально «чистое».
Отсюда — коммерческая логика F6, «Лаборатории Касперского», BI.ZONE и Positive Technologies: аналитика по мобильным угрозам превращается в продукт, который продаётся банкам под видом Fraud Protection и Threat Intelligence. Не случайно F6 в 2026 году рассматривает выход на биржу: рост выручки в 2,5 раза (до 3,9 млрд рублей) напрямую связан с тем, что банкам становится дороже игнорировать мобильный фрод.
Взвешенный вывод
Говорить, что «Android в России небезопасен» — упрощение. Большинство устройств при соблюдении базовой гигиены (установка приложений только из магазинов, отказ от выдачи Accessibility случайным программам) остаются вне зоны риска.
Но и считать Falcon «очередным трояном» уже нельзя. Он и Mamont интересны не отдельными функциями, а тем, что стоит за ними: мобильное мошенничество в России стало массовым автоматизированным продуктом — со своей экономикой, каналами сбыта и R&D. И Falcon здесь — не исключение, а одна из свежих иллюстраций общего сдвига.
Если тема современных вирусов вам интересна, рекомендуем разборы смежных сюжетов: «ИИ внутри вируса: как PromptSpy обходит защиту на любом Android-устройстве» и «ИИ-вымогатель PromptLock: как защитить бизнес от новой киберугрозы» — там мы разбираем, как в ВПО встраиваются большие языковые модели и куда это ведёт индустрию.