Троян Falcon захватывает 30+ приложений банков. Ваш «второй фактор» 2FA — уже не второй. Троян Falcon нацелен на более чем 30 приложений российских банков, инвест-сервисов и маркетплейсов. По данным F6, уже скомпрометированы тысячи карт. Это не очередной SMS-перехватчик — Falcon сам открывает мобильный банк и переводит деньги. Ущерб от вредоносных модификаций на базе NFCGate, в связке с которыми работает Falcon, превысил 1,6 млрд рублей за десять месяцев 2025 года. По данным МВД, на такие модификации приходится 52,4% всех заражений мобильных устройств в России во второй половине 2025-го. Что делает Falcon внутри устройства Жертва устанавливает APK под видом приложения банка, оператора связи или госсервиса. Falcon запрашивает Android Accessibility и получает контроль над экраном. При запуске любого из 30+ целевых приложений троян подставляет поддельную форму входа (overlay) и перехватывает данные. 🚩 Главное отличие: модуль VNC позволяет Falcon самостоятельно открывать банковское приложение, вводить ПИН-код, менять лимиты и выполнять переводы — без участия владельца. Экран снимается до 20 кадров/сек и передается на сервер атакующего. В чем загвоздка для антифрода? Сессия выглядит полностью легитимной — реальное устройство клиента, его IP, его геолокация. Данные F6 гласят, что обнаружение VNC-управления требует поведенческой аналитики и кросс-канальных сессионных данных — направление, которое индустрия активно развивает. Каждый элемент Falcon — VNC, overlay, Accessibility — известен по отдельности. Новинка в том, что всё происходит в комбинации: троян действует автономно после установки, внутри легитимной сессии. Чем удобнее мобильный банк для клиента — тем удобнее он для трояна. UX-оптимизация работает в обе стороны.