Эксперты: троянец LunaSpy захватывает Android под видом антивируса — обычно через мессенджеры

Имитация защиты как повод для взлома

Троянец LunaSpy мимикрирует под антивирус и сам предлагает «обезвредить» несуществующие угрозы. После установки пользователь видит фейковое уведомление о наличии опасных вирусов на устройстве. Чтобы «почистить» смартфон, программа просит доступ к системным функциям — и получает его.

По данным «Лаборатории Касперского», вирус распространяется через мессенджеры под видом приложений для защиты или финансовых сервисов. Только в июне и июле 2025 года зафиксировано более 3000 атак на Android-устройства в России. При этом эпизодические случаи фиксировались ещё в феврале.

Что делает троянец на устройстве

После того как жертва предоставляет нужные разрешения, LunaSpy:

• записывает звук с микрофона и видео с камеры;
• отслеживает геолокацию в реальном времени;
• ведёт запись экрана и перехватывает активность в браузерах и мессенджерах;
• крадёт пароли, читает SMS и звонки;
• загружает контакт-листы и, потенциально, фото из галереи.

Отдельный кусок кода даже позволяет выгружать изображения из памяти телефона, но эта функция пока не была замечена в активном использовании.

Атака не точечная — она массовая

Эксперты сходятся во мнении: речь идёт не о точечном шпионаже, а о массовой атаке. Даже несколько десятков успешных установок дают хакерам большой объём чувствительной информации.

Он подчёркивает, что ущерб от таких атак напрямую зависит от доступа к аккаунтам: чем больше разрешений — тем больнее последствия.

Android под ударом — и iOS тоже

С одной стороны, многие пользователи не видят необходимости в установке антивируса на смартфон — в связи с этим подобные схемы применяются не так часто, комментирует Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности».

С другой стороны, даже три тысячи установок — это довольно солидная цифра.

Может показаться, что большинство заражений происходит именно на Android — просто потому, что система даёт больше свободы пользователю. А значит — и больше рисков Однако эксперт подчёркивает: не всегда важно, какая ОС установлена на смартфон.

Для iOS подобный сценарий реализуется сложнее. Установить троян напрямую почти невозможно — только если замаскировать его под полезное приложение, например «калькулятор с сюрпризом». Но такие атаки требуют иных каналов распространения и больше усилий, поэтому случаются реже.

Как не отдать смартфон в чужие руки

В ситуации с LunaSpy сработал проверенный приём социальной инженерии: создать ощущение угрозы и предложить фальшивую защиту. Чтобы не попасть в ловушку:

• скачивайте приложения только из официальных магазинов: RuStore, Google Play, App Store;
• обращайте внимание на запрашиваемые разрешения — если антивирус хочет доступ к фото и микрофону, это повод насторожиться;
• не устанавливайте APK-файлы по ссылке из мессенджера, даже если прислал знакомый.

Контекст

Это уже не первая подобная атака. В 2024 году «Лаборатория Касперского» сообщала о LianSpy — троянце-шпионе, который прятался под видом системных приложений. Тогда атаки были точечными, теперь — гораздо масштабнее.

По оценкам T.Hunter, в России около 60–70 млн активных Android-устройств. Даже 1% заражений — это сотни тысяч потенциальных жертв. И хотя большинство пользователей не устанавливают антивирусы на смартфон, такие атаки могут распространиться — за счёт паники и фейкового ощущения угрозы.

Фото: D-Keine / Getty Images