Według KasperskyLunasppy, Android Spyware, jest aktywny od co najmniej lutego 2025 r., Dystrybuując się za pośrednictwem aplikacji do przesyłania wiadomości, takich jak Telegram, podszywając się pod antywirus lub oprogramowanie ochrony bankowości.
Po instalacji Lunasppy inicjuje symulowany skan wirusów, wykazując ostrzeżenia o „zagrożeniach”, aby manipulować użytkownikami, aby udzielić szeroko zakrojonych uprawnień. Te żądane uprawnienia nie są wykorzystywane do naprawy, ale raczej do złośliwych działań.
Po nabyciu uprawnień LUNasppy zyskuje zdolność do wykładania haseł z przeglądarek internetowych i aplikacji do przesyłania wiadomości. SPYWORE może również nagrywać audio i wideo, uzyskiwać dostęp do wiadomości tekstowych i odczytać, ustalić lokalizację geograficzną urządzenia i wykonywać dowolne polecenia na naruszeniu urządzenia. Ponadto najnowsza iteracja Lunasppy zawiera uśpiony kod zaprojektowany do exfiltracji fotograficznej, co wskazuje na potencjalną przyszłą funkcjonalność.
Dane uzyskane przez LUNaspy są przesyłane do atakujących za pośrednictwem sieci zawierającej około 150 serwerów. Użytkownikom zaleca się zachowanie ostrożności dotyczącej pobierania aplikacji. W szczególności pobieranie zestawów pakietów Androida (APK) bezpośrednio z linków Messenger, nawet po pochodzeniu ze znanych kontaktów, których kont mogą być naruszone, należy unikać. Ponadto użytkownicy powinni uważać na nieznane aplikacje bezpieczeństwa, które żądają szerokich uprawnień, ponieważ często wskazuje to na złośliwe zamiary.
