Изображение



Содержание


1. Введение: Как FakeCall переизобрёл телефонное мошенничество
2. Что такое FakeCall: история обнаружения и эволюция
3. Технический механизм: как троян подменяет экран вызова
4. Векторы распространения: как FakeCall попадает на устройство
5. Полная цепочка атаки: от заражения до кражи
6. Признаки заражения FakeCall: что замечает пользователь
7. Как отличить настоящий звонок от поддельного
8. Обнаружение FakeCall через системные инструменты и ADB
9. Анализ вредоносного APK: ключевые признаки
10. Пошаговое удаление FakeCall с Android-устройства
11. Защита пользователя: как не стать жертвой
12. Корпоративные риски и защита в организациях
13. Место FakeCall в ландшафте вишинговых угроз
14. Что делать если уже стал жертвой атаки
15. Правовой аспект: ответственность и куда обращаться
16. Часто задаваемые вопросы (FAQ)
17. Заключение: Телефонное мошенничество в 2026 году



Введение: Как FakeCall переизобрёл телефонное мошенничество


Телефонное мошенничество существует столько же, сколько существует телефон. Но каждый раз когда пользователи привыкают к одной схеме и начинают её распознавать — злоумышленники находят новый способ. FakeCall — одно из наиболее тревожных технических усовершенствований в истории телефонного мошенничества за последние годы.

Классический вишинг работал просто: мошенник звонил жертве с произвольного номера, представлялся «сотрудником банка» или «службой безопасности МТС». Главная уязвимость схемы — жертва видит незнакомый или явно подозрительный номер. Сотовые операторы и банки обучали клиентов: не доверяйте звонкам с незнакомых номеров, перезванивайте сами по официальному номеру.

FakeCall устранил эту уязвимость радикальным способом. Вместо того чтобы подделывать исходящий номер (что ненадёжно и легко выявляется) — троян подделывает сам экран входящего вызова на устройстве жертвы. Жертва видит именно то, что хочет показать злоумышленник: официальный логотип банка, «правильный» номер, зелёную кнопку приёма вызова. Всё выглядит точно так же, как настоящий звонок от «Сбербанка» или «МТС» — потому что это буквально нарисованный поверх реального интерфейса фальшивый экран.

Угроза документально подтверждена. FakeCall впервые задокументирован Kaspersky в 2022 году, с тех пор описан ESET, Zimperium, Check Point Research и другими ведущими ИБ-компаниями. По данным Kaspersky, в 2024–2025 годах активность FakeCall-семейства значительно выросла, в том числе в русскоязычном сегменте. Троян регулярно маскируется под приложения российских банков и операторов связи — «Сбербанк», «ВТБ», «МТС», «МегаФон», «Билайн».

Данное руководство основано на публично доступных технических исследованиях и предназначено для защитной деятельности: помочь пользователям распознать угрозу, специалистам ИБ — обнаружить и удалить трояна, службам безопасности организаций — выстроить защиту.



Что такое FakeCall: история обнаружения и эволюция


#### Первое обнаружение и исходные возможности

FakeCall (также встречается в отчётах как Android/FakeCall, Trojan.AndroidOS.FakeCall, BinderCallTrojan) впервые задокументирован исследователями Kaspersky в апреле 2022 года. Исходная версия уже демонстрировала ключевую технику: перехват управления телефонным приложением Android и подмену UI вызовов.

Первоначально троян был нацелен преимущественно на южнокорейский рынок, маскируясь под финансовые приложения. Имитировались входящие звонки от крупных корейских банков — Kookmin Bank, Shinhan Bank, KEB Hana Bank. Схема была отработана и показала высокую эффективность в сочетании с параллельным вишинговым звонком.

#### Эволюция 2023–2026

В 2023 году исследователи зафиксировали расширение географии и функционала. Новые образцы маскировались под банки других стран, добавились возможности скриншотинга, перехвата SMS, работы через Accessibility Services. В 2024 году Check Point Research опубликовал детальный анализ обновлённых вариантов с более сложным механизмом перехвата — через назначение трояна приложением-обработчиком звонков по умолчанию.

В 2025–2026 годах активность в русскоязычном сегменте значительно выросла. Зафиксированы образцы, имитирующие: Сбербанк, ВТБ, Тинькофф, Альфа-Банк, МТС, МегаФон, Билайн, Госуслуги. Социальная инженерия адаптирована под российский контекст: «Служба безопасности Сбербанка», «Техподдержка МТС», «Уведомление от Госуслуг».

#### Классификация и семейство

FakeCall относится к классу банковских троянов с компонентом вишинг-усиления. В отличие от классических банковских троянов, основной целью которых является перехват учётных данных, FakeCall специализируется на создании убедительной иллюзии официального телефонного контакта для социальной инженерии.

Семейство включает многочисленные варианты и модификации, распространяемые разными группами злоумышленников. Общий признак всех вариантов — техника подмены UI звонка.



Технический механизм: как троян подменяет экран вызова


Понимание технического механизма позволяет понять почему стандартные советы («проверяйте номер звонящего») не работают против FakeCall.

#### Ключевая техника: назначение приложения-обработчика звонков

Android позволяет приложениям регистрироваться как обработчик звонков по умолчанию (Default Phone App). Это легитимная функция для сторонних телефонных приложений. FakeCall злоупотребляет ей следующим образом.

При установке и первом запуске троян запрашивает у пользователя право стать приложением-обработчиком звонков по умолчанию. Запрос маскируется под «улучшенную защиту от спам-звонков», «функцию идентификации вызова» или «безопасный режим звонков». Пользователь, думающий что устанавливает банковское или операторское приложение, принимает этот запрос — и троян получает полный контроль над телефонными вызовами.

#### Что происходит при реальном входящем звонке

Когда кому-то (в том числе реальному сотруднику банка или оператора) поступает входящий звонок, Android передаёт управление приложению-обработчику — теперь это FakeCall. Троян: перехватывает информацию о реальном звонящем, не отображает пользователю реальный номер и реального звонящего, показывает вместо этого кастомный интерфейс с именем и логотипом заданного банка или оператора, при необходимости — перенаправляет реальный вызов на номер злоумышленника.

#### Что происходит при инициированном трояном «звонке»

Злоумышленник управляет трояном через C2-сервер. По команде троян: инициирует вызов на номер злоумышленника (или подключает его через конференц-соединение), одновременно отображает пользователю фальшивый экран входящего вызова — с логотипом «Сбербанка» или «МТС», правдоподобным номером. Пользователь берёт трубку, видит знакомый логотип и «официальный» номер — и начинает разговор, не зная что на другом конце провода мошенник.

#### Роль Accessibility Services

В более продвинутых вариантах FakeCall использует Accessibility Services для: чтения содержимого экрана других приложений (например, банковского — для получения баланса и данных карты), автоматических действий в интерфейсе от имени пользователя, перехвата данных, которые пользователь вводит в других приложениях.

#### Фальшивый «исходящий звонок в банк»

Один из наиболее коварных сценариев: пользователь сам инициирует звонок в банк через кнопку в «банковском» приложении. FakeCall перехватывает этот исходящий вызов, показывает пользователю анимацию «дозвона» и знакомый интерфейс, но соединяет не с банком — а с мошенником. Пользователь убеждён, что сам позвонил в банк, и полностью доверяет собеседнику.



Векторы распространения: как FakeCall попадает на устройство


#### Основной вектор: фишинговые SMS и мессенджеры

Типичный сценарий начинается с SMS вида:

«СБЕРБАНК: Обнаружена попытка входа с нового устройства. Установите официальное защищённое приложение для подтверждения личности: [ссылка]»

«МТС: Ваш аккаунт требует верификации. Скачайте обновлённое приложение МТС по ссылке: [ссылка]»

«Уважаемый клиент, в целях безопасности установите приложение для мониторинга подозрительных операций: [ссылка]»

Ссылка ведёт на фишинговый сайт, имитирующий страницу банка или оператора, откуда предлагается скачать APK-файл.

#### Распространение через взломанные сайты и рекламу

Вредоносные APK размещаются на взломанных легитимных сайтах, в поддельных рекламных блоках (malvertising), на форумах и файлообменниках. Поисковая реклама по запросам «скачать приложение Сбербанк», «МТС официальное приложение» может вести на фишинговые страницы.

#### Целевая доставка через звонок-подготовку

В более сложных схемах первый контакт — звонок от «сотрудника банка», который просит установить «защищённое приложение» для решения некой «проблемы» со счётом. Ссылка на APK приходит в SMS непосредственно во время звонка — пользователь находится под социальным давлением и устанавливает приложение, не задумываясь критически.

#### Почему пользователи соглашаются на установку

Ключевой момент: Android требует явного разрешения пользователя для установки из «неизвестных источников». FakeCall преодолевает этот барьер через социальную инженерию: срочность («ваш счёт заблокируют»), авторитет (SMS якобы от банка), псевдологика («официальное приложение не успело обновиться в Play Store»).



Полная цепочка атаки: от заражения до кражи


Рассмотрим полный сценарий атаки FakeCall в российском контексте.

#### Этап 1: Первичный контакт и создание тревоги

Жертва получает SMS с тревожным сообщением от «Сбербанка» или «МТС» о проблеме с аккаунтом, подозрительной активности, необходимости верификации. Сообщение создаёт ощущение срочности и угрозы.

#### Этап 2: Установка трояна

По ссылке открывается убедительно выглядящий сайт. Пользователю объясняют: «Приложение в процессе сертификации в Play Store, пока доступно только прямое скачивание». Инструкция показывает как включить «Установку из неизвестных источников». После установки приложение выглядит как настоящее банковское — те же цвета, логотипы, экраны.

#### Этап 3: Получение критических разрешений

Приложение запрашивает: права стать обработчиком звонков по умолчанию («для защиты от спам-звонков»), Accessibility Services («для автоматического заполнения форм»), доступ к SMS («для получения одноразовых кодов»). Большинство пользователей принимают все запросы, доверяя «официальному» приложению.

#### Этап 4: Фальшивый звонок «из банка»

В назначенное время (или немедленно) на устройстве появляется «входящий звонок» с официальным логотипом банка. Пользователь принимает — и слышит «сотрудника банка», который объясняет ситуацию и предлагает «решение».

#### Этап 5: Социальная инженерия и получение данных

Мошенник в разговоре получает: данные карты (номер, срок, CVV), коды из SMS (пересылаемые трояном на C2), данные для входа в интернет-банк. В некоторых сценариях жертву убеждают самостоятельно перевести средства «на защищённый счёт».

#### Этап 6: Монетизация

Полученные данные используются для: прямого снятия денег через интернет-банк, онлайн-покупок, продажи данных другим мошенникам.



Признаки заражения FakeCall: что замечает пользователь


FakeCall разработан так, чтобы оставаться незаметным. Однако ряд признаков можно заметить при внимательном отношении.

#### Визуальные аномалии при звонках

Наиболее важный признак: интерфейс входящего звонка выглядит иначе, чем обычно. Стандартный интерфейс Android при входящем звонке имеет характерный вид, зависящий от производителя и версии. Если при «звонке от банка» интерфейс отличается от обычного вида звонков — это повод насторожиться.

Другие визуальные аномалии: логотип банка выглядит чуть иначе (неправильные цвета, пропорции), кнопки приёма/отклонения вызова расположены нестандартно, анимация вызова отличается от обычной.

#### Аномалии в поведении телефонного приложения

Стандартное телефонное приложение изменилось без вашего ведома, появились новые функции в интерфейсе телефона, при наборе официального номера банка вручную соединение происходит «слишком быстро» (без реального гудка ожидания).

#### Системные признаки

Незнакомое приложение установлено как «Телефон» по умолчанию (Settings → Apps → Default apps → Phone App). Новое «банковское» приложение с доступом к Accessibility Services. Приложение в списке тех, кто может читать SMS (Settings → Apps → [приложение] → Permissions). Аномальный расход трафика от «банковского» приложения.

#### Косвенные признаки

Несанкционированные транзакции после разговора с «банком». SMS с кодами подтверждения для операций, которые вы не инициировали. Коллеги или родственники сообщают о получении странных сообщений якобы от вас.



Как отличить настоящий звонок от поддельного


Это один из наиболее практически важных разделов для широкой аудитории. FakeCall создан для обмана — но у него есть уязвимости с точки зрения пользователя.

#### Принцип первый: банк никогда не просит делать то, что вас просят

Настоящий сотрудник банка никогда не попросит: продиктовать PIN-код карты, сообщить CVV (трёхзначный код на обороте), продиктовать одноразовый код из SMS («это нужно для подтверждения вашей личности» — ложь), перевести деньги на «защищённый счёт», установить какое-либо приложение «для безопасности», оставаться на линии и не перезванивать.

Если в разговоре звучит любая из этих просьб — это мошенник, независимо от того, что показывает экран вашего телефона.

#### Принцип второй: проверка через независимый канал

Если звонок кажется подозрительным или вызывает беспокойство — прервите его. Найдите официальный номер банка самостоятельно: на обороте вашей физической карты, на официальном сайте банка (не по ссылке из SMS), в официальном приложении из Play Store. Перезвоните сами по найденному номеру и уточните ситуацию.

Критически важно: перезванивать нужно с того же телефона — но использовать самостоятельно найденный номер, а не «перезванивать» по тому же соединению. FakeCall не может подменить исходящий вызов на номер, который вы набираете вручную без участия «банковского» приложения.

#### Принцип третий: проверка идентификатора приложения

Когда вам звонит «банк» через FakeCall, на самом деле звонок обрабатывается вредоносным приложением. Чтобы проверить, какое приложение управляет звонком: зайдите в Settings → Apps → Default apps → Phone App. Здесь должно быть написано «Телефон» (стандартное приложение Android) или название вашего привычного приложения — не «Сбербанк», «МТС» или что-то установленное недавно.

#### Принцип четвёртый: физическая проверка

Во время «звонка из банка» попросите «сотрудника» подождать. Возьмите физическую карту из кошелька, посмотрите на номер телефона на обороте. Скажите собеседнику: «Я сейчас перезвоню на номер, указанный на карте, для уточнения». Реакция выдаст мошенника: настоящий сотрудник банка не будет возражать. Мошенник начнёт убеждать вас «не вешать трубку».



Обнаружение FakeCall через системные инструменты и ADB


Для ИБ-специалистов — практические команды для обнаружения.

#### Проверка приложения-обработчика звонков

bash
<h2 id="podklyuchit-ustroystvo">Подключить устройство</h2>

adb devices



<h2 id="proverit-tekuschee-prilozhenie-dlya-zvonkov-po-umolchaniyu">Проверить текущее приложение для звонков по умолчанию</h2>

adb shell telecom get-default-dialer



<h2 id="ili-cherez-settings">Или через settings</h2>

adb shell settings get secure dialer_default_application



<h2 id="spisok-vseh-prilozheniy-s-razresheniem-call-phone">Список всех приложений с разрешением CALL_PHONE</h2>

adb shell pm list packages | while read line; do

    pkg=$(echo $line | cut -d: -f2)

    perms=$(adb shell dumpsys package $pkg 2>/dev/null | grep "CALL_PHONE\|PROCESS_OUTGOING_CALLS")

    if [ ! -z "$perms" ]; then

        echo "=== $pkg ==="

        echo "$perms"

    fi

done


#### Выявление подозрительных телефонных компонентов

bash
<h2 id="prilozheniya-zaregistrirovannye-dlya-obrabotki-zvonkov">Приложения, зарегистрированные для обработки звонков</h2>

adb shell dumpsys telecom | grep -i "defaultDialer\|phoneAccount\|callScreening"



<h2 id="prilozheniya-s-callscreeningservice-filtratsiya-zvonkov-mozhet-ispolzovatsya-dlya-podmeny">Приложения с CallScreeningService (фильтрация звонков — может использоваться для подмены)</h2>

adb shell dumpsys package | grep -B2 "CallScreeningService"



<h2 id="prilozheniya-s-incallservice-interfeys-vo-vremya-zvonka">Приложения с InCallService (интерфейс во время звонка)</h2>

adb shell dumpsys package | grep -B2 "InCallService"



<h2 id="polnaya-informatsiya-o-dialere">Полная информация о диалере</h2>

adb shell dumpsys telecom | head -100


#### Поиск подозрительных пакетов

bash
<h2 id="vse-storonnie-prilozheniya">Все сторонние приложения</h2>

adb shell pm list packages -3 | sort > installed_apps.txt



<h2 id="proverit-razresheniya-podozritelnogo-paketa">Проверить разрешения подозрительного пакета</h2>

adb shell dumpsys package [имя.пакета] | grep -A2 "granted=true"



<h2 id="proverit-vremya-ustanovki-unix-timestamp">Проверить время установки (UNIX timestamp)</h2>

adb shell dumpsys package [имя.пакета] | grep "firstInstallTime\|lastUpdateTime"



<h2 id="poluchit-apk-dlya-analiza">Получить APK для анализа</h2>

adb pull $(adb shell pm path [имя.пакета] | cut -d: -f2) evidence/sample.apk

sha256sum evidence/sample.apk


#### Мониторинг активности во время «входящего звонка»

bash
<h2 id="zapustit-logcat-do-zvonka-dlya-zahvata-aktivnosti">Запустить logcat ДО звонка для захвата активности</h2>

adb logcat -c  # очистить буфер

adb logcat -v time > logcat_during_call.txt &

<h2 id="sprovotsirovat-testovyy-stsenariy">... спровоцировать тестовый сценарий ...</h2>

<h2 id="ctrl-c-dlya-ostanovki">Ctrl+C для остановки</h2>




<h2 id="analiz-ischem-anomalii">Анализ - ищем аномалии</h2>

grep -i "fakecall\|telecom\|incall\|dialer\|PhoneAccount" logcat_during_call.txt




Анализ вредоносного APK: ключевые признаки


Характерные признаки FakeCall в статическом анализе APK.

#### Подозрительные компоненты в AndroidManifest.xml

FakeCall регистрирует специфические компоненты, необходимые для работы телефонного приложения — которых не должно быть в банковском клиенте:

xml
<!-- Компоненты характерные для FakeCall -->



<!-- Регистрация как диалер (телефонное приложение) -->

<activity android:name=".DialerActivity">

    <intent-filter>

        <action android:name="android.intent.action.DIAL"/>

        <action android:name="android.intent.action.CALL"/>

        <category android:name="android.intent.category.DEFAULT"/>

        <category android:name="android.intent.category.BROWSABLE"/>

    </intent-filter>

</activity>



<!-- Сервис управления звонком (InCallService) -->

<service android:name=".FakeInCallService"

         android:permission="android.permission.BIND_INCALL_SERVICE">

    <meta-data android:name="android.telecom.IN_CALL_SERVICE_UI"

               android:value="true"/>

    <intent-filter>

        <action android:name="android.telecom.InCallService"/>

    </intent-filter>

</service>



<!-- Фильтрация звонков (CallScreeningService) -->

<service android:name=".CallScreeningService"

         android:permission="android.permission.BIND_SCREENING_SERVICE">

    <intent-filter>

        <action android:name="android.telecom.CallScreeningService"/>

    </intent-filter>

</service>



<!-- Разрешения -->

<uses-permission android:name="android.permission.CALL_PHONE"/>

<uses-permission android:name="android.permission.READ_CALL_LOG"/>

<uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS"/>

<uses-permission android:name="android.permission.READ_PHONE_STATE"/>

<uses-permission android:name="android.permission.RECEIVE_SMS"/>

<uses-permission android:name="android.permission.READ_SMS"/>

<uses-permission android:name="android.permission.BIND_ACCESSIBILITY_SERVICE"/>

<uses-permission android:name="android.permission.INTERNET"/>

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>


Ключевой индикатор: наличие `InCallService` с `IN_CALL_SERVICE_UI="true"` в приложении, которое позиционируется как банковский клиент. Настоящее банковское приложение не имеет прав управлять UI телефонных звонков.

#### Поиск ресурсов подмены UI

bash
<h2 id="dekompilyatsiya-apk">Декомпиляция APK</h2>

apktool d sample.apk -o decompiled/



<h2 id="poisk-izobrazheniy-bankov-i-operatorov-vo-vlozhennyh-resursah">Поиск изображений банков и операторов во вложенных ресурсах</h2>

find decompiled/res/ -name "*.png" -o -name "*.webp" | xargs -I{} file {} | grep -i "image"



<h2 id="poisk-strok-s-imenami-bankov">Поиск строк с именами банков</h2>

grep -r "Сбербанк\|Sberbank\|МТС\|МегаФон\|ВТБ\|Тинькофф\|Альфа" \

    decompiled/ --include="*.xml" --include="*.smali"



<h2 id="poisk-telefonnyh-nomerov-bankov-v-kode">Поиск телефонных номеров банков в коде</h2>

grep -r "\+7\|8-800\|8800" decompiled/ --include="*.smali" --include="*.java"


#### Анализ через jadx и MobSF

bash
<h2 id="dekompilyatsiya-v-java">Декомпиляция в Java</h2>

jadx -d decompiled_java/ sample.apk



<h2 id="poisk-c2-kommunikatsii">Поиск C2-коммуникации</h2>

grep -r "okhttp\|retrofit\|socket\|websocket" decompiled_java/ --include="*.java" -l



<h2 id="poisk-url-servera-upravleniya">Поиск URL сервера управления</h2>

grep -r "http\|ws://" decompiled_java/ --include="*.java" | grep -v "import\|//"



<h2 id="avtomaticheskiy-analiz-cherez-mobsf">Автоматический анализ через MobSF</h2>

docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

<h2 id="zagruzit-apk-cherez-http-localhost-8000">Загрузить APK через http://localhost:8000</h2>




Пошаговое удаление FakeCall с Android-устройства


#### Шаг 1: Немедленная изоляция

Немедленно переведите телефон в авиарежим. Это прервёт: C2-соединение трояна с сервером злоумышленника, возможность инициирования новых «звонков» через троян, передачу SMS-кодов на C2. Пока телефон в авиарежиме — троян не может получать команды.

#### Шаг 2: Смена приложения-обработчика звонков

Это критический шаг. Пока FakeCall является обработчиком звонков — все звонки идут через него.

Settings → Apps → Default Apps → Phone App → выберите стандартное приложение «Телефон» (или «Phone»).

Через ADB:
bash
<h2 id="sbrosit-dialer-k-standartnomu">Сбросить диалер к стандартному</h2>

adb shell telecom set-default-dialer com.android.dialer

<h2 id="ili-dlya-pixel-stokovyy-android">или для Pixel/стоковый Android</h2>

adb shell am start -a android.telecom.action.CHANGE_DEFAULT_DIALER


#### Шаг 3: Отключение Accessibility Service

Settings → Accessibility → Downloaded Apps (или Installed Services) → найдите подозрительный сервис → отключите.

#### Шаг 4: Удаление вредоносного приложения

bash
<h2 id="prinuditelnaya-ostanovka">Принудительная остановка</h2>

adb shell am force-stop [имя.пакета]



<h2 id="udalenie">Удаление</h2>

adb uninstall [имя.пакета]



<h2 id="proverka">Проверка</h2>

adb shell pm list packages | grep [ключевое.слово]


Через интерфейс: Settings → Apps → [подозрительное приложение] → Force Stop → Uninstall.

Если Uninstall недоступен — сначала проверьте Device Admin Apps: Settings → Security → Device Admin Apps, отзовите права.

#### Шаг 5: Немедленные защитные действия после удаления

Смените пароли от: интернет-банка, электронной почты, мобильного банка — с чистого устройства или компьютера. Позвоните в банк (с другого телефона или через компьютер на официальный номер) и сообщите об инциденте. Попросите банк заблокировать карту и проверить последние транзакции. Смените PIN-код карты в банкомате вашего банка.

#### Шаг 6: Полный сброс при сомнениях

Если есть сомнения в полноте удаления или устройство ведёт себя аномально — выполните заводской сброс. Перед этим сохраните важные данные (фото, контакты) на внешний носитель — не через синхронизацию с облаком, так как облако может синхронизировать и вредоносное приложение.



Защита пользователя: как не стать жертвой


#### Правило № 1: Только официальные источники для приложений

Все банковские приложения и приложения операторов — только из Google Play. Никогда по ссылкам из SMS, мессенджеров или email. Перед установкой из Play Store проверьте: издателя (должно быть официальное юридическое название компании), число загрузок (у крупных банков — десятки миллионов), дату публикации и последнего обновления.

Если «официальное» приложение предлагается установить не из Play Store — это мошенничество независимо от любых объяснений.

#### Правило № 2: Не давайте банковским приложениям телефонных прав

Если банковское приложение запрашивает право стать «телефонным приложением по умолчанию», «обработчиком звонков», «сервисом фильтрации вызовов» — это ненормально. Настоящее банковское приложение не нуждается в этих правах. Откажите в таком запросе и проверьте, откуда пришло приложение.

#### Правило № 3: Проверяйте Default Phone App

Периодически проверяйте: Settings → Apps → Default Apps → Phone App. Здесь должно быть написано «Телефон» (стандартное приложение Android или предустановленное приложение производителя). Никакое банковское приложение или приложение оператора не должно быть здесь.

#### Правило № 4: Скептицизм к любым «срочным» звонкам от банков

Тактика запугивания и срочности — главный инструмент вишинга. Реальная ситуация такова: если банк заметил подозрительную операцию — он заблокирует её самостоятельно и пришлёт SMS-уведомление. Никакой реальной «срочности» для звонков нет. Любой звонок, создающий ощущение паники («немедленно», «сейчас же», «если не сделаете это прямо сейчас») — красный флаг.

#### Правило № 5: Верификация через физический канал

При любом сомнении: положите трубку, найдите номер банка на физической карте или официальном сайте (не по ссылке из SMS), перезвоните сами. Это занимает 2 минуты и полностью защищает от FakeCall.

#### Правило № 6: Включите push-уведомления о транзакциях

Мгновенные уведомления о каждой транзакции по карте позволяют оперативно обнаружить несанкционированные операции и сразу заблокировать карту.



Корпоративные риски и защита в организациях


#### Специфические корпоративные риски

FakeCall особенно опасен в корпоративном контексте. Целевые атаки на финансовых директоров, главных бухгалтеров и руководителей создают риски несанкционированных корпоративных переводов. В схемах Business Email Compromise (BEC) к мошеннической переписке добавляется «подтверждающий звонок» — якобы от руководителя, партнёра или банка.

Пример сценария: бухгалтер получает письмо от «директора» с просьбой срочно перевести деньги контрагенту. Бухгалтер решает уточнить — звонит директору. «Директор» подтверждает — но звонок идёт через FakeCall на телефон мошенника, который играет роль директора. Перевод выполняется.

#### Корпоративные меры защиты

Политика MDM: запрет на изменение приложения-обработчика звонков по умолчанию, мониторинг Default Phone App на корпоративных устройствах, запрет установки приложений из неизвестных источников. Обучение сотрудников: отдельный инструктаж по FakeCall для финансовых сотрудников, правило «никаких авторизаций по телефону без верификации через независимый канал». Процедурные меры: двухступенчатое подтверждение крупных переводов, верификация по видеосвязи для нестандартных операций.



Место FakeCall в ландшафте вишинговых угроз


#### Эволюция вишинга и место FakeCall

FakeCall — не первый и не последний шаг в эволюции телефонного мошенничества. Поколения вишинга: первое — простой звонок с выдумкой, второе — подмена CallerID (технически возможна через VoIP), третье — FakeCall, подмена UI на устройстве жертвы.

Каждое поколение появлялось в ответ на защиты предыдущего. Пользователи научились проверять номера — злоумышленники стали подменять UI. Против FakeCall тоже появляются защиты: операционные системы вводят ограничения на смену Default Phone App (в Android 10+ требуется явное подтверждение пользователя).

#### Сравнение с другими техниками

Классическая подмена CallerID (через VoIP) отображает нужный номер у жертвы — но не логотип банка и не имитирует полный интерфейс звонка. FakeCall обеспечивает значительно более убедительный обман.

Deepfake-звонки (следующее поколение) — использование ИИ для имитации голоса реального человека в реальном времени. В 2024–2025 годах зафиксированы первые задокументированные случаи применения. FakeCall потенциально будет комбинироваться с deepfake-голосом для создания полной иллюзии разговора с реальным руководителем или сотрудником банка.



Что делать если уже стал жертвой атаки


#### Немедленные действия (первые минуты)

Если вы поняли что разговаривали с мошенником или совершили действие по их инструкции — немедленно: положите трубку, позвоните в банк по номеру с обратной стороны карты и сообщите о мошенничестве, попросите заблокировать карту и отменить последние операции (оперативное обращение повышает шансы на возврат), переведите телефон в авиарежим — это прекратит работу FakeCall.

#### В течение часа

Удалите вредоносное приложение по инструкции из раздела «Пошаговое удаление». Смените пароли от интернет-банка — с другого устройства. Проверьте историю транзакций и оспорьте несанкционированные операции письменным заявлением в банк.

#### Заявление в банк на возврат средств

По закону 161-ФЗ «О национальной платёжной системе», клиент вправе оспорить несанкционированную операцию. Банк обязан рассмотреть заявление. Ваши позиции сильнее если: вы обратились незамедлительно (в идеале до исполнения транзакции или сразу после), есть доказательства использования вредоносного ПО (APK-файл, скриншоты), вы уведомили банк до того, как прошёл расчётный период.

Важно: если вы сами авторизовали перевод под воздействием мошенников — банк может отказать, ссылаясь на добровольность действий. Оспаривайте через Финансового омбудсмена и суд.

#### Заявление в полицию

Обратитесь в полицию по статье 159.3 УК РФ (мошенничество с использованием электронных средств платежа). Приложите: скриншоты переписки, запись разговора если есть, APK вредоносного приложения, выписку по счёту с несанкционированными операциями.



Правовой аспект: ответственность и куда обращаться


#### Нормативная база для жертв

Основные нормы: статья 159.3 УК РФ — мошенничество с использованием электронных средств платежа (до 6 лет лишения свободы), статья 272 УК РФ — неправомерный доступ к компьютерной информации, статья 273 УК РФ — создание, использование и распространение вредоносных программ, ФЗ-161 «О национальной платёжной системе» — защита прав клиентов при несанкционированных операциях.

#### Куда обращаться

Банк — первый и срочный шаг. Телефон на обороте карты. Письменное заявление об оспаривании транзакций.

Полиция — отдел «К» (подразделение по киберпреступности) или территориальный отдел. Заявление о мошенничестве.

Банк России — если банк отказывает в возврате или не реагирует на жалобу. Сайт cbr.ru, раздел «Интернет-приёмная».

Финансовый омбудсмен — если сумма ущерба не превышает 500 000 рублей и досудебный порядок с банком не дал результата. Сайт finombudsman.ru. Решение обязательно для банков.

Суд — если все предыдущие инстанции не помогли. При мошенничестве через вредоносное ПО суды нередко встают на сторону потерпевших при наличии доказательств.



Часто задаваемые вопросы (FAQ)


#### Вопрос 1: FakeCall работает только на Android или на iPhone тоже?

FakeCall — Android-угроза. На iOS приложения не могут стать обработчиком системных звонков и получить полный контроль над UI вызовов. Apple строго ограничивает такие возможности — они доступны только встроенным приложениям. FakeCall в его задокументированной форме не работает на iPhone.

#### Вопрос 2: Как мошенник знает когда позвонить, чтобы я видел «звонок из банка»?

В некоторых вариантах FakeCall мошенник сам инициирует «звонок» через C2-команду на установленном трояне. В других — троян автоматически перехватывает реальный входящий звонок и подменяет отображение. В третьих сценариях мошенник звонит параллельно на другой номер жертвы, а на заражённом телефоне троян показывает «корреспондирующий» фальшивый звонок.

#### Вопрос 3: Защищает ли антивирус Android от FakeCall?

Частично. Некоторые AV-продукты (Kaspersky, ESET) обнаруживают известные образцы FakeCall. Новые варианты могут обходить обнаружение. Антивирус — важный, но не достаточный уровень защиты. Главная защита — не устанавливать приложения из ненадёжных источников.

#### Вопрос 4: Может ли FakeCall записывать разговоры?

Да. Поскольку FakeCall имеет права управления звонками, он потенциально может записывать аудио входящих и исходящих вызовов. Это ещё одна причина для немедленных действий при обнаружении.

#### Вопрос 5: Как понять что приложение из Play Store, а не из стороннего источника?

В Play Store у каждого приложения есть страница с указанием разработчика. При просмотре установленного приложения: Settings → Apps → [приложение] → App details (или «Store info») — если приложение установлено из Play Store, там будет ссылка на страницу в Play Store. Если ссылки нет — приложение установлено из стороннего источника.

#### Вопрос 6: FakeCall может перехватить мой звонок на горячую линию банка?

Да, именно это и происходит в задокументированных сценариях. Когда вы нажимаете кнопку «Позвонить в банк» в фальшивом «банковском» приложении — FakeCall перенаправляет звонок на номер мошенника, показывая вам анимацию набора реального номера. Именно поэтому важно звонить в банк не через подозрительное приложение, а вводя номер вручную из стандартного телефонного приложения Android.

#### Вопрос 7: Помогает ли смена SIM-карты от последствий FakeCall?

Нет. FakeCall работает через программное обеспечение на устройстве, не привязанное к конкретной SIM. Смена SIM не удаляет трояна. Нужно удалить вредоносное приложение.

#### Вопрос 8: Можно ли было получить FakeCall через официальный Play Store?

Теоретически возможны случаи когда вредоносные приложения проходили модерацию Play Store, эксплуатируя задержку проверки. Однако в задокументированных случаях FakeCall распространялся через сторонние источники — фишинговые ссылки, SMS, посторонние APK. Установка только из Play Store с проверкой разработчика существенно снижает риск.



Заключение: Телефонное мошенничество в 2026 году


FakeCall — технологически изощрённое продолжение простой по сути идеи: обмануть человека, притворившись кем-то, кому он доверяет. Разница в том, что теперь для этого обмана используется не только голос и социальная инженерия, но и контроль над самим устройством жертвы.