LunaSpy: qué es y cómo proteger tu Android

Qué es LunaSpy

LunaSpy es un software espía para Android que se hace pasar por una app de antivirus o protección bancaria. Según investigaciones de seguridad, la campaña lleva activa al menos desde febrero pasado y utiliza más de 150 dominios e IPs como servidores de mando y control (C2). El objetivo es engañar al usuario para que otorgue permisos elevados que permiten grabar audio y vídeo, leer SMS y registros de llamadas, robar contraseñas guardadas en navegadores y apps, acceder a fotos de la galería y ejecutar otras acciones de espionaje.

Definición en una línea: spyware es un software diseñado para recopilar información privada sin el consentimiento del usuario.

Importante: LunaSpy no parece dirigirse a un solo grupo demográfico; su infraestructura amplia indica distribución generalizada.

Cómo se distribuye

Los atacantes suelen distribuir LunaSpy mediante enlaces a archivos APK en aplicaciones de mensajería. La ingeniería social es el vector principal: el archivo se presenta como una mejora de seguridad, una oportunidad comercial o una herramienta “exclusiva” que convence al usuario de instalarla. También hay casos en los que cuentas de familiares o amigos secuestradas se usan para difundir el enlace, aprovechando la confianza.

Los chats de grupo son otro canal frecuente: alguien comparte el APK como si fuera una versión premium gratuita de un antivirus conocido.

Señales de infección

• Mensajes o ventanas que informan de “amenazas encontradas” y piden eliminar archivos sospechosos.
• Solicitudes inesperadas de permisos como servicio de accesibilidad, administrador del dispositivo o permisos para dibujar sobre otras apps.
• Actividad intensiva en segundo plano, consumo de batería inusual y uso de datos móviles elevado.
• Grabaciones o fotos no autorizadas, mensajes enviados sin tu intervención.

Qué hacer antes de instalar una aplicación

• Desconfía de enlaces APK recibidos por mensajería, aunque vengan de conocidos.
• No abras el enlace si no puedes verificar su origen. Pregunta al remitente por otro canal.
• Prefiere instalar apps desde Google Play o tiendas oficiales del fabricante.
• Si trabajas en TI o gestionas dispositivos, aplica políticas que bloqueen la instalación de APK fuera de repositorios aprobados.

No permitas “Instalar apps desconocidas” sin supervisión

Para que un APK se instale desde fuera de Play Store, se requiere el permiso “Instalar apps desconocidas” activado para la app que inicia la instalación. Si ese permiso está activado, un APK puede instalarse con menos resistencia del usuario.

Sigue estos pasos generales según tu fabricante: abre ajustes del teléfono y busca la sección de privacidad o permisos especiales. Ve a Protección de privacidad → Permisos especiales → Instalar aplicaciones desconocidas y comprueba que ninguna app tenga la etiqueta Permitido.

Nota: la ruta exacta puede variar según el fabricante, pero el permiso existe en todas las versiones modernas de Android.

Revisa con cuidado los permisos de las apps

LunaSpy depende de permisos elevados para operar. Muchos de estos permisos son demasiado críticos para dárselos a una app desconocida. Si una app nueva solicita varios de los permisos listados abajo, piénsalo dos veces antes de concedérselos.

Permisos peligrosos que puede solicitar LunaSpy:

• Acceso a servicios de accesibilidad: permite leer la pantalla y realizar acciones en nombre del usuario.
• Administrador del dispositivo: dificulta la desinstalación y provee persistencia.
• Permiso para dibujar sobre otras apps: permite mostrar falsas ventanas o capturar credenciales.
• Acceso al micrófono y la cámara: para grabar audio y vídeo.
• Acceso a archivos y fotos: para extraer imágenes o documentos sensibles.
• Acceso al teléfono y SMS: para leer mensajes y registros de llamadas.

Consejo: concede permisos gradualmente y revisa la lista en Ajustes → Apps → Permisos. Retira permisos innecesarios.

Asegúrate de que Google Play Protect esté activo

Google Play Protect escanea apps y puede detectar comportamientos maliciosos, incluso en APK instalados fuera de Play Store. Aunque no es infalible, suele identificar apps con privilegios elevados o actividad persistente.

Abre Google Play Store, toca tu icono y selecciona Play Protect. Luego toca el botón de Ajustes y activa Analizar apps con Play Protect y Mejorar la detección de apps dañinas. Ejecuta un análisis inmediato con Analizar si sospechas de una app.

Medidas adicionales de protección

• Instala y mantén un antivirus confiable con escaneo en tiempo real.
• Mantén Android y las apps actualizadas.
• Usa autenticación fuerte: PIN, contraseña o biometría en el dispositivo y en cuentas críticas.
• Restringe o desactiva la instalación desde fuentes desconocidas en la configuración del sistema.
• Habilita cifrado de dispositivo y copias de seguridad cifradas.

Playbook rápido para usuarios (SOP)

1. No interactúes con el enlace APK cuando lo recibas por mensajería.
2. Si lo abriste pero no instalaste, elimina el mensaje y asegúrate de no conceder permisos.
3. Si instalaste por error: desconéctate de la red (modo avión) y no introduzcas credenciales en apps nuevas.
4. Revisa permisos de la app recién instalada y revócalos. Desinstala la app desde Ajustes → Apps.
5. Ejecuta un escaneo con Play Protect y un antivirus confiable.
6. Cambia contraseñas sensibles desde un dispositivo seguro y activa 2FA.
7. Si la app es administrador del dispositivo, quítale ese estatus antes de desinstalar.

Criterios de aceptación para considerar el dispositivo limpio:

• No hay apps desconocidas ni con permisos críticos.
• Escaneo de Play Protect y antivirus sin detecciones.
• No hay actividad inusual en datos o batería.

Runbook de incidente (respuestas para TI)

1. Aislar el dispositivo: pedir al usuario que active modo avión y entregue el dispositivo al equipo.
2. Identificar la app sospechosa y capturar evidencia: nombre del paquete, APK si está disponible y pantallazos.
3. Revisar permisos elevados y registros de administrador del dispositivo.
4. Ejecutar herramientas forenses móviles si están disponibles.
5. Cambiar credenciales y revocar sesiones iniciadas desde el dispositivo.
6. Si hay riesgo de filtración, iniciar comunicación de incidentes con stakeholders.
7. Restaurar desde respaldo conocido si la limpieza no es fiable.

Lista de verificación por roles

Para usuarios finales:

• No instalar APK de enlaces en mensajería.
• Revisar permisos tras instalar nuevas apps.
• Mantener Play Protect activo.

Para administradores de TI:

• Bloquear instalación desde fuentes externas mediante políticas MDM.
• Mantener inventario de apps y permisos.
• Educar a usuarios sobre ingeniería social.

Para equipos de seguridad:

• Monitorizar dominios de C2 conocidos y bloquearlos en la red.
• Implementar detección de anomalías en tráfico saliente.

Pruebas y criterios de aceptación (test cases)

• Caso 1: instalar APK desconocido con permiso “Instalar apps desconocidas” desactivado. Resultado esperado: instalación bloqueada.
• Caso 2: app solicita servicio de accesibilidad. Resultado esperado: alerta al usuario y rechazo por defecto.
• Caso 3: Play Protect ejecuta escaneo tras instalación de APK sospechoso. Resultado esperado: detección o cuarentena.

Matriz de riesgos y mitigaciones

• Riesgo: instalación accidental de APK malicioso. Mitigación: desactivar permiso de instalar apps desconocidas y bloqueo MDM.
• Riesgo: concesión de accesos de administrador del dispositivo. Mitigación: revisar y limitar administradores; educación del usuario.
• Riesgo: robo de credenciales. Mitigación: activar 2FA, cambiar contraseñas desde dispositivo seguro.

Cuándo las medidas pueden fallar

• Usuarios con permisos de desarrollador o con configuraciones de seguridad debilitadas pueden sortear protecciones.
• Si el atacante tiene acceso a la cuenta de Google del usuario, puede reinstalar o restaurar apps desde backups.
• Play Protect y antivirus no detectan todas las variantes nuevas inmediatamente.

Alternativas y enfoques complementarios

• Usar una cuenta de usuario separada para apps no confiables.
• Ejecutar apps sospechosas en un entorno aislado o dispositivo secundario.
• Políticas corporativas que requieren revisiones y firmas de APK antes de permitir instalaciones.

Notas de seguridad y privacidad (GDPR y datos personales)

• Si un dispositivo empresarial contiene datos personales o de clientes, sigue el procedimiento de notificación interno y evalúa requisitos legales locales.
• Evita transferir datos personales mientras investigas. Utiliza canales cifrados para comunicaciones de incidentes.

Glosario (una línea cada término)

• APK: paquete de instalación de Android.
• C2: servidor de mando y control que opera el malware.
• Play Protect: sistema de Google para analizar y proteger apps en Android.
• Administrador del dispositivo: permiso que otorga control elevado sobre el dispositivo.

Resumen

LunaSpy es un spyware para Android que abusa de instalaciones por APK y permisos elevados para espiar a las víctimas. Mantén desactivada la instalación desde fuentes desconocidas, revisa los permisos de las apps, activa Play Protect y aplica políticas de seguridad si gestionas dispositivos. Si sospechas una infección, sigue el playbook y contacta al equipo de seguridad.

Importante: no abras enlaces APK que no hayas verificado y cambia contraseñas desde un dispositivo que sabes seguro.