Всплеск атак на Android: троянец LunaSpy выдаёт себя за антивирус
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Всплеск атак на Android: троянец LunaSpy выдаёт себя за антивирус

Яков Шпунт 06 Августа 2025 - 09:18
...
Всплеск атак на Android: троянец LunaSpy выдаёт себя за антивирус

«Лаборатория Касперского» зафиксировала резкий рост числа атак на Android-устройства с использованием трояна LunaSpy. По данным компании, вредоносное приложение маскируется под легитимное ПО, включая якобы защитные решения для финансовых сервисов. Основная цель злоумышленников — получить доступ к данным пользователя и управлению устройством, вводя жертву в заблуждение с помощью социальной инженерии.

По оценкам вендора, LunaSpy появился ещё в феврале, однако массовое распространение началось только нынешним летом. Всего «Лаборатория Касперского» зафиксировала около 3000 атак на российских пользователей.

Главным каналом распространения зловреда стали мессенджеры, где он распространяется под видом антивируса или инструмента для защиты финансовых транзакций.

«В LunaSpy злоумышленники имитируют работу антивируса: после установки жертва видит уведомление об обнаруженных на её смартфоне киберугрозах, но на самом деле их нет. Атакующие используют такой трюк, чтобы убедить человека предоставить нужные им разрешения — якобы для защиты девайса», — сообщил в комментарии для «Ведомостей» эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.

Основная задача LunaSpy — кража учётных данных и паролей. Кроме того, вредонос способен записывать аудио и видео с устройства, вести съёмку экрана, отслеживать геолокацию, а также фиксировать активность пользователя в браузерах и мессенджерах. Он имеет доступ к контактам, СМС-сообщениям и галерее, хотя последняя функция пока не активна.

По мнению экспертов, LunaSpy является вспомогательным инструментом в схемах кражи средств: он применяется в связке с методами социальной инженерии. Об этом свидетельствует как функциональность зловреда, так и используемые каналы распространения.

Генеральный директор SafeTech Group Денис Калемберг в беседе с «Ведомостями» отметил, что технически LunaSpy может быть адаптирован и для iOS, однако распространение на этой платформе значительно сложнее. По его оценке, на Android количество заражений может достичь сотен тысяч устройств.

Повышенный риск заражения наблюдается у пользователей контрафактных смартфонов: вредоносные приложения могут быть предустановлены на уровне прошивки. Так, в апреле «Лаборатория Касперского» сообщала о массовом заражении дешёвых устройств зловредом Triada, который также обладает широким набором вредоносных функций.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпионы атакуют ВС Белоруссии, используя бэкдор, работающий через Tor
Татьяна Никитина 01 Ноября 2025 - 15:22
БэкдорыЦелевые атакиТаргетированные атаки Государство
Шпионы атакуют ВС Белоруссии, используя бэкдор, работающий через Tor

Исследователи из Cyble обнаружили необычный Windows-бэкдор, раздаваемый под видом уведомления о переподготовке белорусских военнослужащих для нужд недавно созданных войск беспилотных авиационных комплексов.

Целью атак с применением зловреда, открывающего SSH-доступ через Tor, по всей видимости, является шпионаж.

Анализ показал, что распространяемый злоумышленниками документ «ТЛГ на убытие на переподготовку.pdf» на самом деле является архивным файлом, содержащим LNK с тем же русскоязычным именем и скрытую папку FOUND.000.

Ее содержимым оказался вложенный persistentHandlerHashingEncodingScalable.zip, который с помощью PowerShell-команд, встроенных в LNK, распаковывается в специально созданную папку %appdata%\logicpro.

При запуске вредонос вначале проверяет систему на наличие песочниц и автоматизированных средств анализа. При обнаружении враждебной среды дальнейшее исполнение откатывается; при благоприятном стечении обстоятельств жертве отображается маскировочный PDF-документ, а остальные действия выполняются в фоне.

 

Чтобы обеспечить себе постоянное присутствие, зловред с помощью командлета Register-ScheduledTask создает запланированные задания — на свой запуск при первом же входе жертвы в систему, а потом ежедневно в 10:21 AM UTC (13:21 по Москве).

Когда он активен, на порту 20321оживает служба SSH стараниями githubdesktop.exe, подписанного Microsoft (Windows-версия OpenSSH); удаленный доступ при этом возможен лишь по ключу RSA (публичный вшит в код зловреда). Дополнительно запускается SFTP с кастомными настройками для вывода данных.

Параллельно создается скрытый сервис Tor и организуется проброс портов для ряда Windows-служб с тем, чтобы обеспечить оператору анонимный доступ к различным системным ресурсам (в том числе по RDP и SMB).

Подключение к Tor реализовано через транспортный протокол obfs4, использующий шифрование. Подобный трюк позволяет скрыть вредоносный трафик, выдав его за обычную сетевую активность.

 

Найденный образец, по словам аналитиков, несколько похож на инструменты, используемые APT-группы Sandworm. Попыток загрузки дополнительного пейлоада или постэксплуатации тестирование не выявило.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новая версия Android-трояна SpyNote маскируется под Google Play
Новость
Новая версия Android-трояна SpyNote маскируется под Google P...
Discord сообщил о краже персональных и платёжных данных пользователей
Новость
Discord сообщил о краже персональных и платёжных данных поль...
19-летнего британца обвинили в атаках Scattered Spider на суды США
Новость
19-летнего британца обвинили в атаках Scattered Spider на су...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.