Троянская луна над банками: в Россию привезли смартфоны со шпионским ПО для целевых атак

Обнаруженный троянец представляет собой высокофункциональное вредоносное ПО для Android, чей функционал сфокусирован на тотальной слежке за владельцем устройства. Основные возможности LunaSpy включают скрытую трансляцию с камер, запись звука через микрофоны, захват экрана и сбор широкого спектра конфиденциальных данных. Для маскировки вредоносная программа выдаёт себя за легитимное антивирусное приложение "System Framework", хотя аналитики отмечают, что она может скрываться и под другими названиями. Важно понимать, что LunaSpy используется не для массовых, а для таргетированных атак, после успешного первичного контакта с жертвой через методы социальной инженерии. Эксперты F6 зафиксировали около 300 подобных атак, что указывает на активную и целенаправленную кампанию.

Особенностью исследованного кейса стал метод доставки: смартфон с уже инсталлированным и полностью настроенным троянцем был физически передан жертве. Это радикально меняет классический сценарий, где пользователя нужно обманом заставить скачать и установить вредоносное приложение, а затем предоставить ему множество опасных разрешений. В данном случае все необходимые для работы троянца привилегии - права администратора устройства, доступ к службам специальных возможностей (Accessibility) и разрешение на автозапуск в фоне - были выданы заранее. Таким образом, устройство из коробки превращалось в идеальный инструмент шпионажа.

Архитектура LunaSpy модульна и включает четыре основных сервиса. Компонент Sound отвечает за запись аудио с микрофонов, SDisplay осуществляет захват экрана, SCamera управляет скрытой трансляцией с камер, а SData служит центральным сборщиком информации по командам с сервера злоумышленников. Приложение реализует сложные механизмы устойчивости и самозащиты. Оно постоянно контролирует работу своих сервисов, перезапуская их в случае сбоя или попытки остановки. Ключевую роль здесь играет эксплуатация служб специальных возможностей Android. LunaSpy мониторит интерфейс системы, и если пользователь пытается зайти в настройки приложения, чтобы его удалить, или открывает окно подтверждения деинсталляции, троянец автоматически имитирует нажатие кнопки "Назад", сводя на нет все усилия жертвы.

Сервис SData является мозговым центром троянца, обрабатывающим управляющие команды. Их набор впечатляет: от активации и деактивации механизма самозащиты до сбора местоположения, истории звонков, контактов, SMS, данных о батарее, сетевых интерфейсах, SIM-картах и полной технической информации об устройстве. Специалисты F6 в своём отчёте подчеркивают, что этот функционал позволяет злоумышленникам, например, видеть, использует ли жертва VPN-соединение, что критически важно для понимания её реального местоположения и обхода географических ограничений при совершении мошеннических операций. Кроме того, через службы специальных возможностей троянец отслеживает запуск конкретных банковских приложений и браузеров, а также перехватывает пароли, вводимые пользователем в соответствующие поля.

Сетевое взаимодействие LunaSpy с командным центром организовано с высокой степенью отказоустойчивости. Троянец использует целый пул доменных адресов, постоянно ротируя их. Если соединение с одним сервером невозможно, адрес блокируется, и данные перенаправляются на другой. В коде обнаруженного образца присутствует 18 таких пулов, хотя использовался лишь один, что указывает на потенциал для масштабирования и смены инфраструктуры. Все действия троянца подробно логируются в зашифрованный файл, который по команде может быть отправлен операторам, обеспечивая им полный контроль над процессом заражения.

Помимо самого троянца, на исследованном устройстве был обнаружен клиент мессенджера на основе протокола Matrix, развёрнутый на серверах самих злоумышленников. Это позволяло им вести голосовое и текстовое общение с жертвой, не полагаясь на публичные платформы, которые легче отследить и заблокировать. Сочетание технических возможностей полного наблюдения с прямым психологическим воздействием делает такие атаки чрезвычайно эффективными. Мошенник, видя экран жертвы и слыша её разговоры, может в реальном времени давать указания, манипулировать и пресекать любые подозрительные с его точки зрения действия.

Перспективы развития данного вектора атаки вызывают серьёзную озабоченность у экспертов. Доставка предварительно скомпрометированных устройств снимает с киберпреступников ключевую техническую сложность - необходимость обхода защиты и убеждения пользователя. В будущем это может эволюционировать в поставку устройств с уязвимой или модифицированной прошивкой, где вредоносный код будет работать на более низком уровне операционной системы, что сделает его обнаружение и удаление ещё сложнее. Угроза перестаёт быть чисто цифровой и становится гибридной, сочетающей социальную инженерию, логистику и сложное вредоносное ПО. Для финансового сектора это означает, что традиционные модели оценки рисков, основанные на анализе поведения внутри банковского приложения, становятся недостаточными. Необходимо учитывать контекст всего устройства и сессии, включая признаки удалённого управления и наличие подозрительных служб, что требует более глубокой интеграции средств защиты.

Domains

• 24mskfootballnews.ru
• 5qzbnddjd0gdoomf.ru
• akwdjhflk234as.ru
• alegriki.ru
• alex-555.online
• alex555.ru
• alex-555.ru
• alexandra666.online
• andrlexusded.sbs
• asffdjhfl456as.ru
• atdsgjhflk3456as.ru
• barabancik.ru
• bestbyucaseivanobo.ru
• bjnkljjjlgggj.xyz
• bsbaballs.run
• buyprodam-dachnik.ru
• bypudge.xyz
• cortel.click
• cuchablya.com
• cyberwar.site
• daawtoun.xyz
• darikakkea.online
• davay-ebash.org
• delayu-veter.net
• dhfdti12f4563.com
• fakalddk.xyz
• fdbfdsbbfsfd.ru
• finus1ugi.online
• finus1ugi.ru
• golova4tobidymat.online
• golova4tobidymat.ru
• govoritgolova.bond
• howtomakesite.org
• jagernayt.ru
• jfgneijrni12fsr43.online
• jfgneijrni12fsr43.ru
• kaitarka.online
• kalslsas.info
• kazametall.ru
• kolseeso.ru
• kuplyprodambilety.ru
• landnazad.ru
• liquidforseofsper.online
• lohpidarnetdruzey.shop
• lookup-grazhdane.cfd
• lqhwuauiswx81om9.click
• lunadev3.photography
• lunadevsps.com
• lunadevsps.press
• lunadevsps.pro
• lunadevsps.ru
• lunadevsps.store
• lunadevsps.website
• martiksmat.online
• medovikpechnik.bond
• midyzaa.ru
• musoraidutnahui.online
• musorhuesos.ru
• nazakiland.ru
• newsletters.mov
• nikolas.autos
• nikolas.baby
• nikolas.homes
• nikolas.it.com
• nikolas.lat
• nikolas.my
• ochkagovno.ru
• oclcjqww8uu7lebw.fun
• opticun.ru
• p5828n6lpgo0ruw9.ru
• panopium.com
• panoptical.ru
• panoptimo.ru
• panoptium.com
• panoptium.ru
• panoptom.online
• panoptom.ru
• panoptum.com
• panoptum.ru
• panoptyx.com
• pantopium.com
• pantoptium.com
• perfomenstreet.ru
• pikiviki777.cyou
• pikiviki777.sbs
• pilitavki.ru
• piterfootballnews.ru
• poltavka-555.online
• poltavka555.ru
• poltavka-555.ru
• ponoptian.ru
• ponoptix.ru
• ponoton.ru
• poryadochniy-domen.com
• prikol.sbs
• qd5osjvgikmdmcgv.ru
• royal-domen.ru
• rteuyyt.pro
• russiannews.observer
• rzhomba.xyz
• sadsvses.ru
• shardowlay.ru
• silnyi-domen.ru
• stolicab.com
• stolical.ru
• stolicar.ru
• stolicaw.ru
• stolicax.com
• stolicay.com
• stolicay.online
• stolicay.org
• stolicay.ru
• svyazhorosha.com
• tolstiy-siskastiy.ru
• traf-service.xyz
• triksimart.xyz
• tuzvladki.cfd
• ultimatuq.ru
• voidhrona.ru
• workaisnamisper.online
• ybnp3gm3qyp3r8xh.site
• ytbbe1cuv08gz7rc.ru
• zamenili777.sbs
• zxcyamaha.ru

MD5

• b66516f7b8455808abde8648ecf9526a

SHA1

• ce361c1b5f174a57ce9944ded4128da0474e6c1d

SHA256

• 7141a9b7ea5ef0502ae9c21b1d3cfe46f7a23dfc5858e6ae93fbc19549cd7a06