Falcon: Android-угроза под видом легитимного обновления
Исследователи обнаружили новую вредоносную кампанию, получившую имя Falcon. В её основе — APK-файл, замаскированный под легитимное российское приложение. Первоначально образцы ошибочно классифицировались как очередной вариант банковского трояна, однако более глубокий анализ вскрыл самостоятельную и активно развивающуюся угрозу. Главная особенность кампании — эксплуатация доверия пользователей к привычному механизму обновлений, что позволяет вредоносному ПО скрывать своё присутствие и беспрепятственно развивать атаку.
Тактика «обновления» как прикрытие
Злоумышленники побуждают жертву установить пакет, который на первый взгляд ничем не отличается от знакомого сервиса. Сразу после запуска приложение предлагает пользователю выполнить обязательное обновление. Именно на этом этапе происходит доставка и активация вредоносной нагрузки. Такой подход решает две задачи: антивирусные средства сложнее распознают угрозу, а сам пользователь привыкает к тому, что на устройстве сосуществуют легитимная программа и «необходимый» компонент, не вызывающий подозрений.
Русскоязычная локализация и почерк разработчиков
В ходе обратного инжиниринга APK исследователи зафиксировали значительное количество жёстко закодированного русского языка в коде и отладочных журналах. Это прямо указывает на целенаправленную локализацию под русскоязычную аудиторию. При этом сама кодовая база вредоносного ПО отличается продуманной архитектурой, аккуратной структурой и описательными именами переменных. Подобный стиль нехарактерен для кустарных поделок и заметно облегчает анализ специалистам, однако он же свидетельствует о растущей квалификации авторов.
Инфраструктура доставки: Trello и фишинговые HTML-страницы
Ключевым элементом цепочки заражения выступают публично доступные ресурсы. Вредоносная программа использует Trello для размещения HTML-файлов, которые демонстрируют жертве поддельные страницы обновлений. Эти веб-страницы созданы с единственной целью — убедить пользователя добровольно выдать приложению обширные разрешения. Главная цель злоумышленников — получить доступ к службе «Специальные возможности» (Accessibility Services). Обладая такими правами, вредоносное ПО способно:
- читать входящие SMS и перехватывать звонки;
- отслеживать любые действия на экране;
- предотвращать удаление приложения стандартными средствами;
- имитировать нажатия, чтобы автоматизировать атаки от имени пользователя.
Арсенал шпионажа и техники скрытности
Возможности Falcon выходят далеко за рамки кражи учётных данных. Анализ последних образцов выявил устойчивый набор функций, нацеленных на полный контроль над устройством и маскировку активности:
- Скрытая запись экрана — фиксация всего, что происходит на дисплее, без каких-либо индикаторов для пользователя.
- Перехват SMS — перехват одноразовых кодов и конфиденциальных сообщений.
- Постоянный опрос управляющего сервера — регулярное соединение для получения команд и эксфильтрации собранных данных.
- Механизмы закрепления — принудительный перезапуск при попытке пользователя или системы завершить вредоносный процесс.
- Скрытые уведомления — манипуляция статус-баром Android, чтобы скрыть признаки работы приложения.
- Блокировка экрана — возможность полностью отрезать владельца от устройства, манипулируя экраном блокировки, в том числе через JavaScript-интерфейсы для сбора данных.
Эволюция и статистика распространения
Мониторинг активности разработчиков выявил устойчивый цикл обновлений вредоносного ПО. Новые варианты регулярно появляются на платформах проверки, и VirusTotal фиксирует их стабильную загрузку. В последних версиях усилились фишинговые компоненты: используются имена, визуально знакомые клиентам популярных банков, что ещё сильнее подрывает бдительность. Постоянная доработка кода, совершенствование методов распространения и языковая заточка указывают на то, что кампания Falcon останется активной угрозой для русскоязычных пользователей в обозримом будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



