Троянский смартфон: злоумышленники доставляют ВПО LunaSpy вместе с Android-устройством

Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 в феврале 2026 года обнаружили образцы Android ВПО, которое используется для таргетированных атак пользователей из России. В ходе исследования была зафиксирована волна целевых атак на клиентов банковского сектора с использованием Android-трояна LunaSpy. Его функционал направлен на слежку за пользователем, а также перехват чувствительных данных на устройстве.

LunaSpy – это вредоносное ПО для Android, которое осуществляет перехват камер, запись звука микрофонами устройства, запись экрана и сбор чувствительных данных. Изученные образцы маскировались под антивирусное решение System framework, но также ВПО может скрываться под другими названиями.

Злоумышленники используют LunaSpy таргетировано уже после первичного этапа атаки с использованием социальной инженерии. Аналитики F6 зафиксировали около 300 атак киберпреступников при помощи этого ВПО. В исследованном кейсе LunaSpy был доставлен жертве вместе с Android-устройством, на которое ВПО уже было установлено заранее.

А еще, кроме целого арсенала для слежки за пользователем устройства, LunaSpy может включать функционал самозащиты, препятствующий его удалению.

Архитектура и возможности ВПО

LunaSpy включает в себя 4 основных архитектурных компонента:

• Sound –  осуществляет запись данных с микрофонов устройства;
• SDisplay — осуществляет запись экрана устройства;
• SCamera – осуществляет трансляцию с камер устройства;
• SData —  собирает информацию по команде, полученной с сервера.

LunaSpy осуществляет постоянный контроль работы этих сервисов несколькими способами, обеспечивая перезапуск любого из них в случае аварийного завершения или завершения пользователем. А с помощью функционала сервиса Accessibility в ОС Android производится контроль попыток удаления или остановки работы приложения — при обнаружении соответствующих окон настроек приложение имитирует нажатие пользователем кнопки «Назад». LunaSpy устанавливает соединения с целым пулом доменных адресов и имеет в коде еще несколько неиспользованных пулов доменных адресов, которые, вероятно, могут быть использованы в других сборках ВПО.

LunaSpy на устройстве

Мы ранее упомянули, что данное ВПО было установлено на смартфоне, доставленном жертве злоумышленниками после первичного этапа атаки с помощью социальной инженерии. LunaSpy были предоставлены все необходимые для работы разрешения, а также специальные права в системе, а именно:

• права администратора устройства

Рисунок 1. LunaSpy обладает правами администратора на устройстве

• доступ к Accessibility-службам

Рисунок 2. LunaSpy обладает доступом к службам Accessibility

• право на автозапуск в фоновом режиме

Рисунок 3. LunaSpy обладает правами на автозапуск в фоновом режиме

Кроме LunaSpy, на устройстве были установлены и легитимные приложения, из которых ВПО способно перехватывать данные, а именно ряд известных браузеров и мессенджеров.

Также в смартфоне был обнаружен клиент мессенджера, работающего на основе протокола Matrix, в котором злоумышленники вели взаимодействие с жертвой.

Функционал и система управления устройством

Пользовательский интерфейс приложения

Пользовательский интерфейс приложения представляет собой имитацию интерфейса антивирусного приложения, извещающего пользователя о необходимости произведения сканирования устройства.

Рисунок 4. Графический интерфейс LunaSpy

Однако элементы интерфейса, отражающие результаты работы антивируса, такие как количество файлов и угроз, являются случайно сгенерированными. На самом деле при запуске приложения происходит также запуск четырех ранее упомянутых фоновых сервисов — SCamera, SData, SDisplay и Sound. Сервис SDisplay, производящий перехват экрана устройства пользователя, запускает запрос необходимого ему разрешения при нажатии пользователем кнопки «Начать сканирование» в графическом интерфейсе приложения.

Рисунок 5. Запрос разрешения на демонстрацию экрана

Сервис сбора данных устройства

Сбор данных и управление функционалом самозащиты вредоносного приложения осуществляется с помощью сервиса SData – его функционал реализован на основе набора управляющих команд:

ACTIVATE_APP_PROTECTION. Использование команды активирует защиту приложения. Самозащита приложения заключается в защите ВПО от удаления: приложение отслеживает переход пользователем в список приложений, в свойства ВПО или же переход в определенные разделы настроек. Отслеживание происходит по имеющимся на экране текстовым элементам.

Рисунок 6. Команда включения самозащиты приложения.

DEACTIVATE_APP_PROTECTION. При получении команды выключается флаг защиты приложения и, соответственно, ранее упомянутая самозащита приложения.

Рисунок 7. Команда выключения самозащиты приложения.

Изменение статуса самозащиты производится путем записи его в локальный файл, а также отправки соответствующего широковещательного сообщения в системе.

Рисунок 8. Отправка intent об изменении статуса самозащиты приложения.

Техническая реализация механизма самозащиты ВПО будет рассмотрена ниже.

CHECK_APP_PROTECTION. Команда реализует получение статуса защиты приложения.

Рисунок 9. Проверка статуса самозащиты приложения.

GET_LOCATION. Данная команда предназначена для получения координат местоположения.

Рисунок 10. Обработка команды получения местоположения устройства.

В LunaSpy реализована обработка ошибок с логированием на случай неудачных попыток получить данные о местоположении устройства в течение 10 секунд после получения команды с сервера. Предусмотрено оповещение оператора ВПО, когда истекает время таймаута на выполнение задачи при отсутствии предоставленных разрешений на доступ приложения к местоположению устройства (android.permission.ACCESS_FINE_LOCATION и android.permission.ACCESS_COARSE_LOCATION).

GET_CALL_LOGS. При получении команды происходит отправка на сервер истории звонков на устройстве. Команда обрабатывает ошибки, аналогичные обрабатываемым командой GET_LOCATION. В результате ее выполнения происходит формирование JSON-структуры, которая включает в себя поля свойств каждого звонка:

• number – номер телефона
• name – имя контакта
• date – дата звонка
• duration – продолжительность разговора
• type – тип звонка (заблокированный, отклоненный, пропущенный, входящий, исходящий).

Рисунок 11. Считывание истории телефонных звонков с устройства

GET_CONTACTS. Команда реализует парсинг списка контактов на мобильном устройстве жертвы, включая номера телефонов и адреса электронной почты. Собранный список контактов отправляется на сервер в виде JSON-структуры, где каждый элемент включает в себя поля свойств контакта:

• id – идентификатор контакта
• name – название контакта
• timestamp – дата последнего изменения контакта
• phones – перечень сохраненных телефонных номеров контакта с указанием типа (рабочий, домашний, мобильный, другой)
• emails – перечень сохраненных адресов электронной почты контакта с указанием типа адреса (рабочий, домашний, другой)

Рисунок 12: Считывание контактов с устройства

GET_BATTERY_INFO. Команда осуществляет запрос получения информации о состоянии батареи устройства с помощью класса BatteryInfoManager. Собранные данные отправляются в виде JSON-структуры, включающей в себя поля:

• percentage – уровень заряда батареи устройства
• is_charging – заряжается-ли устройство в данный момент
• charge_type – тип зарядки (None, USB, Wireless, AC)
• temperature – температура аккумулятора
• voltage – напряжение на аккумуляторе
• health – состояние работоспособности аккумулятора (UNKNOWN, FAILED, OVER_VOLTAGE, DEAD, OVERHEAT, GOOD)

Рисунок 13. Считывание информации о батарее устройства

GET_NETWORK_INFO. LunaSpy собирает также и информацию о сетевых интерфейсах зараженного устройства, преобразуя собранные данные в формат JSON и отправляя их на сервер. Для каждого из сетевых интерфейсов устройства в JSON-структуру собираются такие данные, как:

• ipv4_address (или ipv6_address) – IP-адрес устройства для анализируемого сетевого интерфейса
• name – название сетевого интерфейса
• mac_address – MAC-адрес устройства для анализируемого интерфейса
• display_name – имя интерфейса в более читаемом формате

Таким образом, злоумышленник может, например, видеть, использует ли устройство жертвы VPN-соединение.

Рисунок 14. Получение информации о сетевых интерфейсах устройства

GET_DEVICE_INFO. При получении такой команды осуществляется сбор информации о модели и производителе устройства. На сервер отправляются такие значения, как:

• manufacturer – производитель устройства
• version — версия Android
• product – имя продукта
• model – модель устройства
• brand — бренд производителя устройства
• device – кодовое имя устройства
• host — имя хоста, на котором была собрана сборка Android
• sdk – уровень API Android
• fingerprint – уникальная строка-идентификатор сборки Android
• hardware – название аппаратной платформы
• board – название платы
• securityPatch – уровень патча безопасности

Рисунок 15. Получение информации об устройстве

GET_SIM_INFO. При таком запросе происходит сбор информации о SIM-картах устройства через обращение к классу SimInfoManager. Данный класс формирует JSON-структуру данных одной или нескольких SIM-карт на устройстве. В случае, если на устройстве используется только одна SIM-карта, собираются данные:

• operatorName – название оператора
• countryIso – код страны
• simState – состояние SIM-карты
• number – номер телефона
• imei – IMEI устройства

Если используется несколько SIM-карт, то формат собираемых данных выглядит следующим образом:

• displayName – отображаемое имя подписки (например, SIM 1)
• carrierName – название оператора
• countryIso – код страны
• number – номер телефона
• subscriptionId – идентификатор подписки

Таким образом, функционал парсинга данных о SIM-картах пользователя реализован так, чтобы обеспечить работу ВПО на наибольшем количестве Android-устройств.

Рисунок 16. Считывание информации о SIM-картах на устройстве

GetSMS. Получение этой команды включает сбор всех SMS-сообщений, полученных устройством. LunaSpy собирает для каждого сообщения в отправляемой JSON-структуре такие данные, как:

• id – номер-идентификатор конкретного сообщения
• number – номер телефона адресата сообщения
• person – имя адресата сообщения
• timestamp – дата получения сообщения
• dateFormatted – дата получения сообщения в читаемом виде
• body – содержимое SMS-сообщения

Рисунок 17. Считывание истории SMS-сообщений

Последняя команда – REQUEST_LOGS – осуществляет отправку всех собранных LunaSpy логов на сервер злоумышленников. Система логирования в данном ВПО будет описана отдельно.

Использование Accessibility-служб 

Кроме обработки указанных выше команд, сервис сбора данных активно эксплуатирует функционал, реализованный с помощью взаимодействия со службами Android Accessibility.

Так, функционал самозащиты LunaSpy использует службы Accessibility для мониторинга экрана пользователя на наличие элементов, которые могут свидетельствовать о попытке пользователя удалить LunaSpy с устройства. ВПО отслеживает такие состояния экрана, как:

Окно информации о приложении, которое может быть использовано для его удаления. Открытие пользователем такого окна отслеживается по наличию на экране текстовых элементов:

• название приложения LunaSpy на устройстве – «System Framework»;
• имя пакета приложения LunaSpy – «com.syscore.toolsuite»;
• название кнопки для удаления приложения – «Uninstall», «Удалить», «Delete», «Remove», «Деинсталлировать».

При обнаружении такого окна LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет на сервер сообщение «App info page with uninstall button».

Окно настроек по управлению приложениями, сфокусированное на приложении LunaSpy. Его открытие пользователем отслеживается по наличию на экране текстовых элементов:

• название кнопки для удаления приложения – «Uninstall», «Удалить», «Delete», «Remove», «Деинсталлировать»;
• название раздела настроек по управлению приложениями на устройстве — «Manage apps», «Управление приложениями», «Application manager», «Менеджер приложений», «Apps & notifications», «Приложения и уведомления», «Application list», «Список приложений», «All apps», «Apps», «Все приложения»;
• идентификатор приложения – «com.syscore.toolsuite», «System Framework», «syscore».

При обнаружении такого окна LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет на сервер сообщение «App management with uninstall».

Окно подтверждения удаления приложения LunaSpy. Открытие пользователем такого окна отслеживается по наличию на экране текстовых элементов, соответствующих этому окну: «uninstall», «delete», «remove», «удалить», «System Framework», «com.syscore.toolsuite». При обнаружении такого окна LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет на сервер сообщение «Uninstall confirmation dialog».

Окно настроек приложений администратора устройства. Открытие пользователем такого окна отслеживается по наличию на экране текстовых элементов:

• идентификатор окна настроек приложений администратора устройства – «admin», «device admin», «администратор», «безопасность», «security»;
• идентификатор приложения — «com.syscore.toolsuite», «System Framework», «syscore».

При обнаружении окна LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет на сервер сообщение «Security admin page».

Прочие способы удаления приложения, характеризующиеся по наличию на экране текстовых элементов:

• название кнопки для удаления приложения — «Uninstall», «Удалить», «Delete», «Remove», «Деинсталлировать»;
• идентификатор окна настроек — «android», «system»;
• идентификатор приложения — «com.syscore.toolsuite», «System Framework», «syscore».

При обнаружении такого окна LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет на сервер сообщение «System uninstall attempt».

Кроме реализации механизма самозащиты, службы Accessibility используются и для кражи данных. Так, LunaSpy отслеживает запуск ряда приложений на устройстве, в том числе браузеров и мессенджеров, и после запуска отправляет соответствующее информационное сообщение на сервер злоумышленников. Все отслеживаемые приложения были предустановлены на доставленном жертве устройстве.

Также службы Accessibility применяются в LunaSpy для отслеживания ввода пользователем паролей в соответствующие формы ввода — процесс отслеживания включается при обнаружении на экране текстового элемента, сигнализирующего о наличии поля ввода пароля на экране, и завершается при нажатии пользователем элемента на экране для отправки пароля. Считанный с помощью ВПО пароль отправляется также и на сервер злоумышленников.

Рисунок 20. Обработка ввода пароля

Сервис скрытой съемки

Сервис SCamera предназначен для захвата видео с камер зараженного устройства. Он поддерживает обработку трех команд:

START_VIDEO. Данная команда обрабатывается в формате:

START_VIDEO <camera id> <quality>

где:

• camera_id – идентификатор камеры устройства, с которой будет производиться трансляция;
• quality – качество передаваемого потока данных (MEDIUM по-умолчанию).

Команда осуществляет запуск видеотрансляции на конкретной камере устройства с выбранным качеством записи.

STOP_VIDEO – запускает процесс завершения передачи видеопотока данных сервисом.

SET_QUALITY. Данная команда осуществляет установку качества передачи видео с камеры устройства и передается в формате:

SET_QUALITY <quality>

где quality – это качество передачи видеопотока (LOW, MEDIUM, HIGH). В контексте LunaSpy качество передачи изображения характеризуется:

• разрешением экрана (320×240 – LOW, 640×480 – MEDIUM, 1280×720 — HIGH)
• значением bitrate (500000 – LOW, 1500000 – MEDIUM, 2500000 — HIGH)
• значением FPS (15 – LOW, 24 – MEDIUM, 30 – HIGH)

Рисунок 21. Обработка команд управления камерой

Сервис скрытой прослушки

Сервис Sound отвечает за запись аудио с устройства и принимает с сервера команды:

START_AUDIO. Команда осуществляет запуск прослушивания аудио с микрофона устройства.

STOP_AUDIO. При получении команды происходит остановка прослушивания аудио.

START_AUDIO_OPUS. При получении серверной команды происходит запуск прослушивания аудио с микрофона устройства с помощью используемой библиотеки OPUS.

Передача команд и данных аудиопотока (равно как и в ранее описанных сервисах) происходит посредством websocket-соединения с одним из доменов пула адресов серверов злоумышленников.

Для произведения более надежной и устойчивой записи использованы механизмы отслеживания разрывов сетевого соединения и его переподключения.

Таким образом, в зависимости от переданной с сервера команды, прослушка микрофонов устройства может осуществляться двумя способами: с помощью технологии OPUS, позволяющей осуществлять сжатие звуковых данных для более качественной передачи сигнала, либо путем передачи звукового сигнала в сыром несжатом виде.

Сервис перехвата экрана пользователя

Сервис перехвата экрана LunaSpy имеет три команды для управления:

• START_SCREEN – запускает захват экрана, если он ещё не активен.
• STOP_SCREEN – останавливает захват экрана
• REQUEST_NEW_PROJECTION – инициирует запрос нового разрешения на захват экрана.

Рисунок 24. Обработка команд управления перехватом экрана

Стоит отметить, что каждый из ранее перечисленных сервисов обладает надежной системой восстановления в случае аварийного завершения, а также имеет в своем функционале возможность определения пропускной способности сети и способа выхода в интернет (Wi-Fi, мобильный интернет) для обеспечения наиболее надежного способа передачи данных на сервера злоумышленников.

Технические особенности

Одной из особенностей сетевого взаимодействия LunaSpy с серверной частью вредоносного ПО является ротация IP-адресов используемого конкретным образцом ВПО пула доменов. Это значит, что передача данных с устройства жертвы осуществляется сразу на несколько доменов злоумышленников, а вредоносная программа производит постоянную смену адресата отправки данных. Данный функционал позволяет обеспечить злоумышленникам постоянное и отказоустойчивое взаимодействие LunaSpy с сервером при сетевых блокировках вредоносных доменов и IP-адресов. Если какой-либо из ранее описанных серверов не может установить успешное соединение, он будет заблокирован, и образец LunaSpy больше не будет пытаться отправлять на него данные.

Рисунок 25. Пример блокировки IP-адреса при недоступности сервера

Рисунок 26: Логирование данных о доступных и заблокированных серверах

В результате исследования образца LunaSpy было обнаружено 18 пулов доменных адресов, которые могут быть использованы этим ВПО. Тем не менее, исследованным образцом был использован лишь один пул доменных адресов из представленных.

Рисунок 27. Перечень доменных пулов серверов злоумышленников.

Стоит отметить также и подробное логирование, реализованное в LunaSpy. Оно охватывает большую часть функционала ВПО, позволяя злоумышленникам отслеживать статус выполнения тех или иных задач в рамках его работы — от установления сетевых соединений до ошибок при работе сервисов.

Рисунок 28: Примеры логируемого поведения ВПО

Логирование осуществляется с помощью класса Logger в файл system_log.txt, создаваемый в директории приложения во внешнем хранилище устройства. Сохраняемые в файл логи шифруются с помощью алгоритма AES.

Все логи, записанные в файл, могут быть запрошены с сервера с помощью ранее упомянутой команды REQUEST_LOGS.

Также в LunaSpy реализован механизм автозапуска сервисов приложения сразу после произведения перезагрузки устройства. Приложение осуществляет отслеживание системных событий android.intent.action.QUICKBOOT_POWERON, android.intent.action.LOCKED_BOOT_COMPLETED, android.intent.action.BOOT_COMPLETED, android.intent.action.REBOOT, оповещающих о включении устройства, и при их получении запускает сервисы SData, SCamera, Sound и SDisplay, описанные ранее.

Рисунок 31: Запуск всех сервисов LunaSpy

На устройствах Xiaomi или устройствах с версией Android выше 12 автозапуск сопровождается появлением постоянного уведомления с оповещением о необходимости запустить приложение вручную.

Рисунок 32. Реализация push-уведомления о необходимости запуска приложения после перезагрузки

Поскольку ВПО подразумевает работу нескольких сервисов в фоновом режиме, и чтобы они не были завершены аварийно средствами ОС, злоумышленники используют методику поддержания их работы с помощью постоянных push-уведомлений, замаскированных под информационные.

Общение мошенников с жертвой

В результате исследования зараженного устройства, кроме вредоносного приложения, было обнаружено также средство связи злоумышленников с жертвой. В условиях проблем с работой ряда мессенджеров, злоумышленники использовали малоизвестное приложение-мессенджер, основанное на протоколе Matrix. При этом бэкенд приложения был развернут на серверах самих киберпреступников, то есть для воздействия на жертву методами социальной инженерии в рассматриваемом случае не требуется использование общеизвестных и общедоступных сервисов.

Рисунок 35: Взаимодействие производилось посредством голосовых звонков

Перспективы будущих атак

Атаки с использованием LunaSpy открывают новый потенциальный вектор мошеннических схем, основанный на доставке вредоносного программного обеспечения пользователю вместе с устройством. Использование многофункционального ВПО с функционалом самозащиты, такое как Lunaspy, и доставка уже зараженных устройств имеет перспективы дальнейшего развития, поскольку злоумышленникам больше не требуется убеждать пользователя предоставить вредоносному Android-приложению то или иное разрешение — нужные разрешения уже будут предоставлены на полученном жертвой устройстве. LunaSpy фиксирует любое нежелательное для злоумышленников действие жертвы может и предотвращает техническими средствами ВПО или же методами социальной инженерии, которые с возможностями шпионажа LunaSpy становятся еще более эффективными.

Развитие данного вектора атаки может привести к доставке устройств с уязвимой прошивкой или же с ВПО, установленным на уровне ОС Android, что может открыть перед злоумышленниками новые возможности контроля за устройством и самозащиты вредоносного ПО.

Рекомендации специалистов F6 для пользователей

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Не используйте для авторизации в банковских и государственных сервисах мобильные устройства, полученные от посторонних лиц.
• При приобретении нового устройства рекомендуется выполнение сброса настроек.
• Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и Google Play. Перед установкой обязательно проверяйте отзывы о приложении, обращайте особое внимание на негативные отзывы — это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не предоставляйте чувствительных разрешений приложениям, если не понимаете, с какой целью приложение его запрашивает. Особое внимание рекомендуется обратить на разрешение на доступ к службе Accessibility («Специальные возможности»).
• Проверьте устройство на наличие подозрительных приложений, если наблюдается странное поведение смартфона: автоматический запуск / завершение работы приложений, автоматическое сворачивание приложений и окон, перенаправление на домашний экран. Все вышеперечисленные признаки могут свидетельствовать об удаленном управлении или автоматизации работы вредоносного ПО с устройством.
• При подозрении на наличие вредоносного ПО на устройстве проверьте список приложений, установленных на устройстве, и предоставленные им разрешения. Особое внимание рекомендуется обратить на приложения с правами администратора на устройстве и с правами на доступ к службам Accessibility («Специальные возможности»).
• Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• Учитывать данные геолокации пользователей.
• При использовании СМС для отправки OTP-кода реализовать механизмы проверки приложения, принимающего СМС на устройстве пользователя.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Реализовать меры по выявлению приложений, имеющих доступ к службам Accessibility.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.

Например, для оценки риска транзакции и проверки получателя денег применяется комплексный подход с помощью линейки продуктов Fraud Protection от F6.

Индикаторы компрометации            

Filename: System Framework v1.0.8 (3).apk

MD5: b66516f7b8455808abde8648ecf9526a

SHA-1: ce361c1b5f174a57ce9944ded4128da0474e6c1d

SHA-256: 7141a9b7ea5ef0502ae9c21b1d3cfe46f7a23dfc5858e6ae93fbc19549cd7a06

Домены:

• «andrlexusded[.]sbs»
• «govoritgolova[.]bond»
• «lookup-grazhdane[.]cfd»
• «lunadev3[.]photography»
• «bypudge[.]xyz»
• «medovikpechnik[.]bond»
• «tuzvladki[.]cfd»
• «panoptum[.]ru»
• «stolicay[.]org»
• «stolicab[.]com»
• «stolicax[.]com»
• «stolicay[.]com»
• «stolicay[.]online»
• «stolicar[.]ru»
• «stolicay[.]ru»
• «stolicaw[.]ru»
• «stolical[.]ru»
• «fdbfdsbbfsfd[.]ru»
• «tolstiy-siskastiy[.]ru»
• «cuchablya[.]com»
• «poryadochniy-domen[.]com»
• «svyazhorosha[.]com»
• «traf-service[.]xyz»
• «davay-ebash[.]org «
• «delayu-veter[.]net»
• «silnyi-domen[.]ru»
• «royal-domen[.]ru»
• «pantopium[.]com»
• «pantoptium[.]com»
• «panoptyx[.]com»
• «perfomenstreet[.]ru»
• «kazametall[.]ru»
• «kolseeso[.]ru»
• «opticun[.]ru»
• «panoptical[.]ru»
• «panoptimo[.]ru»
• «panoptium[.]ru»
• «panoptom[.]online»
• «panoptom[.]ru»
• «cyberwar[.]site»
• «kaitarka[.]online»
• «darikakkea[.]online»
• «daawtoun[.]xyz»
• «martiksmat[.]online»
• «triksimart[.]xyz»
• «ponoptian[.]ru»
• «ponoptix[.]ru»
• «ponoton[.]ru»
• «panopium[.]com»
• «panoptium[.]com»
• «panoptum[.]com»
• «nikolas[.]my»
• «nikolas[.]lat»
• «nikolas[.]baby»
• «nikolas[.]autos»
• «nikolas[.]homes»
• «nikolas[.]it.com»
• «workaisnamisper[.]online»
• «liquidforseofsper[.]online»
• «24mskfootballnews[.]ru»
• «piterfootballnews[.]ru»
• «bestbyucaseivanobo[.]ru»
• «kuplyprodambilety[.]ru»
• «buyprodam-dachnik[.]ru»
• «cortel[.]click»
• «howtomakesite[.]org»
• «newsletters[.]mov»
• «russiannews[.]observer»
• «pilitavki[.]ru»
• «pikiviki777[.]cyou»
• «pikiviki777[.]sbs»
• «poltavka555[.]ru»
• «poltavka-555[.]online»
• «poltavka-555[.]ru»
• «finus1ugi[.]ru»
• «golova4tobidymat[.]ru»
• «finus1ugi[.]online»
• «golova4tobidymat[.]online»
• «rteuyyt[.]pro»
• «p5828n6lpgo0ruw9[.]ru»
• «qd5osjvgikmdmcgv[.]ru»
• «5qzbnddjd0gdoomf[.]ru»
• «ybnp3gm3qyp3r8xh[.]site»
• «oclcjqww8uu7lebw[.]fun»
• «ytbbe1cuv08gz7rc[.]ru»
• «lqhwuauiswx81om9[.]click»
• «atdsgjhflk3456as[.]ru»
• «asffdjhfl456as[.]ru»
• «akwdjhflk234as[.]ru»
• «jfgneijrni12fsr43[.]online»
• «jfgneijrni12fsr43[.]ru»
• «dhfdti12f4563[.]com»
• «sadsvses[.]ru»
• «fakalddk[.]xyz»
• «bjnkljjjlgggj[.]xyz»
• «kalslsas[.]info»
• «bsbaballs[.]run»
• «barabancik[.]ru»
• «nazakiland[.]ru»
• «landnazad[.]ru»
• «prikol[.]sbs»
• «rzhomba[.]xyz»
• «musorhuesos[.]ru»
• «ochkagovno[.]ru»
• «lohpidarnetdruzey[.]shop»
• «musoraidutnahui[.]online»
• «voidhrona[.]ru»
• «ultimatuq[.]ru»
• «jagernayt[.]ru»
• «zxcyamaha[.]ru»
• «midyzaa[.]ru»
• «shardowlay[.]ru»
• «lunadevsps[.]press»
• «lunadevsps[.]ru»
• «lunadevsps[.]store»
• «lunadevsps[.]website»
• «lunadevsps[.]com»
• «lunadevsps[.]pro»
• «alegriki[.]ru»
• «zamenili777[.]sbs»
• «alexandra666[.]online»
• «alex-555[.]ru»
• «alex-555[.]online»
• «alex555[.]ru»