F6: Hackers Entregam Trojan LunaSpy Junto com Dispositivo Android para Ataques Mirados
A empresa de cibersegurança F6 alertou sobre o trojan LunaSpy, que está sendo entregue às vítimas por meio de dispositivos Android já infectados. Os ataques, focados em clientes do setor bancário na Rússia, exploram engenharia social para entregar smartphones comprometidos, contornando a necessidade de instalação e permissões por parte da vítima.
MundiX News·09 de maio de 2026·3 min de leitura·👁 4 views
Especialistas da empresa F6 alertam sobre o trojan Android LunaSpy, que os invasores estão entregando às vítimas de uma maneira bastante incomum: junto com o smartphone. Ou seja, o usuário recebe um dispositivo no qual o malware já está instalado e configurado.
De acordo com os pesquisadores, os ataques usando o LunaSpy são direcionados e visam clientes do setor bancário na Rússia. No total, os especialistas registraram cerca de 300 desses ataques.
A esquema funciona da seguinte forma: primeiro, os invasores estabelecem contato com a vítima usando engenharia social e, em seguida, entregam a ela um dispositivo Android com malware pré-instalado (por exemplo, convencendo a pessoa de que tal smartphone garante confidencialidade e segurança). No smartphone, o LunaSpy já possui todas as permissões necessárias - direitos de administrador, acesso aos serviços de acessibilidade e inicialização automática em segundo plano.
O próprio malware se disfarça de antivírus System Framework e imita a interface de um aplicativo de proteção, oferecendo ao usuário uma "verificação". Obviamente, os resultados de tal "verificação" (o número de arquivos e ameaças encontradas) são gerados aleatoriamente.
Na verdade, ao clicar no botão "Iniciar verificação", quatro serviços em segundo plano são iniciados: gravação do microfone (Sound), captura de tela (SDisplay), transmissão das câmeras (SCamera) e coleta de dados sob comando do servidor de controle (SData).
A gama de recursos do LunaSpy é impressionante. O malware é capaz de gravar áudio (inclusive usando o codec OPUS para compressão), conduzir filmagens de vídeo das câmeras do dispositivo em diferentes qualidades, interceptar o conteúdo da tela, roubar SMS, contatos, histórico de chamadas, dados de geolocalização, cartões SIM, interfaces de rede e bateria. Além disso, o malware monitora o lançamento de navegadores e mensageiros e intercepta senhas inseridas por meio de serviços de acessibilidade.
No relatório dos especialistas, atenção especial também é dada ao mecanismo de autoproteção do malware. O LunaSpy monitora a tela do dispositivo em busca de elementos relacionados a uma tentativa de excluir o aplicativo. Se o usuário entra nas configurações do aplicativo, nas propriedades do trojan ou tenta excluí-lo, o malware pressiona automaticamente o botão "Voltar" e envia um relatório para o servidor de seus operadores.
Para se comunicar com a infraestrutura de controle, o LunaSpy usa um pool de endereços de domínio com rotação de IP - se um servidor se torna inacessível, o malware muda para outro. Na amostra pesquisada, os analistas encontraram 18 desses pools, embora apenas um tenha sido usado ativamente.
Além disso, um mensageiro baseado no protocolo Matrix foi encontrado no smartphone infectado, através do qual os invasores se comunicavam com a vítima. O back-end do mensageiro funcionava nos servidores dos próprios criminosos, ou seja, eles não precisavam de plataformas publicamente disponíveis.
Os analistas observam que esse vetor de ataque - a entrega de um dispositivo infectado - pode se desenvolver ainda mais. Assim, os invasores não precisam convencer a vítima a instalar o aplicativo e conceder permissões: tudo isso já foi feito com antecedência.
Especialistas da empresa F6 alertam sobre o trojan Android LunaSpy, que os invasores estão entregando às vítimas de uma maneira bastante incomum: junto com o smartphone. Ou seja, o usuário recebe um dispositivo no qual o malware já está instalado e configurado.
De acordo com os pesquisadores, os ataques usando o LunaSpy são direcionados e visam clientes do setor bancário na Rússia. No total, os especialistas registraram cerca de 300 desses ataques.
A esquema funciona da seguinte forma: primeiro, os invasores estabelecem contato com a vítima usando engenharia social e, em seguida, entregam a ela um dispositivo Android com malware pré-instalado (por exemplo, convencendo a pessoa de que tal smartphone garante confidencialidade e segurança). No smartphone, o LunaSpy já possui todas as permissões necessárias - direitos de administrador, acesso aos serviços de acessibilidade e inicialização automática em segundo plano.
O próprio malware se disfarça de antivírus System Framework e imita a interface de um aplicativo de proteção, oferecendo ao usuário uma "verificação". Obviamente, os resultados de tal "verificação" (o número de arquivos e ameaças encontradas) são gerados aleatoriamente.
Na verdade, ao clicar no botão "Iniciar verificação", quatro serviços em segundo plano são iniciados: gravação do microfone (Sound), captura de tela (SDisplay), transmissão das câmeras (SCamera) e coleta de dados sob comando do servidor de controle (SData).
A gama de recursos do LunaSpy é impressionante. O malware é capaz de gravar áudio (inclusive usando o codec OPUS para compressão), conduzir filmagens de vídeo das câmeras do dispositivo em diferentes qualidades, interceptar o conteúdo da tela, roubar SMS, contatos, histórico de chamadas, dados de geolocalização, cartões SIM, interfaces de rede e bateria. Além disso, o malware monitora o lançamento de navegadores e mensageiros e intercepta senhas inseridas por meio de serviços de acessibilidade.
No relatório dos especialistas, atenção especial também é dada ao mecanismo de autoproteção do malware. O LunaSpy monitora a tela do dispositivo em busca de elementos relacionados a uma tentativa de excluir o aplicativo. Se o usuário entra nas configurações do aplicativo, nas propriedades do trojan ou tenta excluí-lo, o malware pressiona automaticamente o botão "Voltar" e envia um relatório para o servidor de seus operadores.
Para se comunicar com a infraestrutura de controle, o LunaSpy usa um pool de endereços de domínio com rotação de IP - se um servidor se torna inacessível, o malware muda para outro. Na amostra pesquisada, os analistas encontraram 18 desses pools, embora apenas um tenha sido usado ativamente.
Além disso, um mensageiro baseado no protocolo Matrix foi encontrado no smartphone infectado, através do qual os invasores se comunicavam com a vítima. O back-end do mensageiro funcionava nos servidores dos próprios criminosos, ou seja, eles não precisavam de plataformas publicamente disponíveis.
Os analistas observam que esse vetor de ataque - a entrega de um dispositivo infectado - pode se desenvolver ainda mais. Assim, os invasores não precisam convencer a vítima a instalar o aplicativo e conceder permissões: tudo isso já foi feito com antecedência.
