«Лаборатория Касперского»: троян LunaSpy под видом антивируса атакует Android-устройства в России

Троянец под видом антивируса получал доступ к экрану, камере и микрофону жертвы

Специалисты «Лаборатории Касперского» зафиксировали более 3000 атак на пользователей Android-устройств в России с помощью нового шпионского троянца под названием LunaSpy. Об этом сообщает представитель компании в комментарии газете «Ведомости».

Первые атаки с применением этого вредоносного ПО были замечены ещё в феврале 2025 года, однако основной пик активности пришёлся на июнь и июль. Информация собрана на основе обезличенных данных от систем защиты компании.

Как работает LunaSpy

По словам эксперта по кибербезопасности Дмитрия Калинина, злоумышленники распространяют троянца через мессенджеры, выдавая его за антивирус или финансовое приложение. После установки LunaSpy отображает поддельные уведомления о якобы обнаруженных угрозах на устройстве. Это используется как метод социальной инженерии, чтобы убедить пользователя вручную предоставить вредоносному приложению все необходимые разрешения, включая доступ к камере, микрофону, местоположению и экрану смартфона.

Возможности троянца включают:

• запись видео и звука через камеру и микрофон;
• отслеживание геолокации и активности в мессенджерах и браузере;
• захват экрана и сбор паролей;
• чтение SMS, просмотр списка контактов и журнала звонков;
• потенциальную возможность кражи фото из галереи (эта функция пока не использовалась).

Все собранные данные передаются на серверы, контролируемые злоумышленниками.

Вероятная цель атак – финансовая выгода

Специалисты «Лаборатории Касперского» не исключают, что LunaSpy используется не только для слежки, но и как вспомогательный инструмент в мошеннических схемах по краже денежных средств. Об этом свидетельствуют технические особенности вредоноса и контекст, в котором он предлагается пользователю.

Предыдущий случай с аналогичным шпионским ПО — LianSpy — также был обнаружен «Лабораторией Касперского» в 2024 году. Тогда вредонос маскировался под системные и финансовые приложения и использовался для целенаправленного кибершпионажа. С тех пор было зафиксировано не менее 10 целей, однако конкретные жертвы не раскрывались.

Насколько масштабна угроза?

По оценкам гендиректора SafeTech Group Дениса Калемберга, потенциальная аудитория вредоноса может составлять от нескольких тысяч до сотен тысяч пользователей. Это зависит от масштабов распространения через фишинговые сайты, социальную инженерию и мессенджеры.

По словам Игоря Бедерова, директора департамента расследований компании T.Hunter, более 70% мобильных устройств в России работают под управлением Android — это от 60 до 70 миллионов смартфонов. Именно поэтому Android остаётся главной целью для подобных атак.

При этом Калемберг уточняет, что аналогичный троянец может быть создан и для iOS, но распространить его намного сложнее из-за ограничений экосистемы Apple. Обычно подобные приложения маскируются под безобидные инструменты, например калькуляторы с двойным назначением.

Как защититься

• Не устанавливайте приложения из неизвестных источников и мессенджеров.
• Проверяйте разрешения, запрашиваемые приложениями — особенно к микрофону, камере и геолокации.
• Используйте проверенные решения от известных производителей антивирусного ПО.
• Регулярно обновляйте операционную систему и приложения.

Смартфоны Android под угрозой

Случай с LunaSpy демонстрирует, что Android-устройства остаются одной из самых уязвимых платформ для шпионского ПО. Маскировка под полезные приложения и применение социальной инженерии делают эти угрозы особенно опасными для массового пользователя. Важно сохранять бдительность и следовать базовым правилам цифровой гигиены, чтобы не стать жертвой кибермошенников.