Мобилен шпионски софтуер ZeroDayRAT
Изследователи по киберсигурност откриха усъвършенствана платформа за мобилен шпионски софтуер, известна като ZeroDayRAT, която в момента се рекламира в Telegram като цялостно решение за извличане на чувствителни данни и провеждане на наблюдение в реално време на устройства с Android и iOS. Предлагана на пазара като готов за внедряване шпионски пакет, платформата се простира далеч отвъд основното събиране на данни и се впуска в активно наблюдение и директна финансова експлоатация.
Операторът поддържа специални Telegram канали за продажби, обслужване на клиенти и текущи актуализации, предоставяйки на купувачите централизиран достъп до напълно функционална екосистема от шпионски софтуер. Този рационализиран модел на разпространение значително намалява бариерата за навлизане на киберпрестъпниците, търсещи усъвършенствани възможности за наблюдение.
Съдържание
Широка съвместимост с устройства и гъвкаво внедряване
ZeroDayRAT поддържа Android версии от 5 до 16 и iOS версии до 26, което осигурява широко покритие на устройствата. Смята се, че зловредният софтуер се разпространява предимно чрез кампании за социално инженерство и измамни пазари за приложения, предназначени да подведат потребителите да инсталират злонамерени приложения.
Купувачите получават инструмент за създаване на зловреден софтуер, който генерира персонализирани злонамерени двоични файлове. Тези двоични файлове се управляват чрез онлайн контролен панел, който операторите могат да внедрят на собствените си сървъри, което им предоставя пълен административен контрол върху заразените устройства.
Цялостна информация за устройствата и проследяване на местоположението
След инсталиране, ZeroDayRAT предоставя на операторите широка видимост върху компрометираното устройство. Чрез самостоятелно хостван панел за управление, нападателите могат да получат достъп до подробна информация, като например модел на устройството, версия на операционната система, състояние на батерията, данни за SIM картата, информация за оператора, използване на приложения, съдържание на известия и преглед на последните SMS съобщения. Тази информация позволява на злонамерените лица да изградят подробни профили на жертвите, включително модели на комуникация и често използвани приложения.
Платформата също така заснема GPS координати в реално време и ги картографира с помощта на Google Maps, като същевременно поддържа исторически дневник на движенията на жертвата. Това постоянно геолокационно проследяване ефективно трансформира заразеното устройство в инструмент за непрекъснато наблюдение.
Изброяване на акаунти и експозиция на идентификационни данни
Особено обезпокоителна функция е панелът „Акаунти“, който изброява всички акаунти, регистрирани на заразеното устройство. Това включва широко използвани услуги, като например:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm и Spotify
Свързани потребителски имена или имейл адреси също са разкрити, което позволява събиране на идентификационни данни, профилиране на самоличността и потенциални опити за поглъщане на акаунт.
Разширено наблюдение и заобикаляне на двуфакторно удостоверяване
ZeroDayRAT включва набор от възможности за инвазивно наблюдение и прихващане. Те включват:
- Записване на натискания на клавиши за записване на идентификационни данни и лични комуникации
- Извличане на SMS съобщения, включително еднократни пароли (OTP), използвани за заобикаляне на двуфакторно удостоверяване
- Стрийминг на камера в реално време и активиране на микрофон за аудио-визуално наблюдение на живо
Тези функции позволяват на противниците да извършват интерактивно наблюдение, превръщайки компрометираните устройства в средства за дистанционно събиране на разузнавателна информация.
Интегрирани модули за криптовалута и банкова кражба
Освен наблюдението, зловредният софтуер интегрира механизми за финансова кражба. Компонент за кражба на криптовалути сканира приложения за портфейли като MetaMask, Trust Wallet, Binance и Coinbase. Когато жертвата копира адрес на портфейл в клипборда, зловредният софтуер го замества с адрес, контролиран от нападателя, пренасочвайки транзакциите без знанието на потребителя.
Специализиран модул за кражба на банкови данни е насочен към услуги за цифрови плащания, включително Apple Pay, Google Pay, PayPal и PhonePe. PhonePe използва индийския унифициран интерфейс за плащания (UPI), протокол, предназначен да улесни междубанковите транзакции от типа „peer-to-peer“ и „лице към търговец“, което го прави привлекателна цел за финансово мотивирани участници.
Развиващи се заплахи от мобилен шпионаж
ZeroDayRAT представлява напълно пакетирана рамка за мобилни компромети. Възможности, които преди изискваха ресурси на националните държави или разработване на персонализирани експлойти, вече са търговски достъпни чрез Telegram. Един оператор може да получи достъп, базиран на браузър, до данните за местоположението на жертвата, комуникациите, финансовите сметки, записа от камерата, входа от микрофона и натисканията на клавиши.
Зловредният софтуер е в съответствие с по-широката тенденция в мобилните заплахи, които експлоатират фишинг кампании и проникване в официални пазари за приложения. Нападателите многократно са идентифицирали методи за заобикаляне на защитните мерки, внедрени от Apple и Google, често манипулирайки потребителите да инсталират злонамерени приложения.
На iOS устройства, кампаниите често злоупотребяват с механизмите за корпоративно осигуряване, които позволяват на организациите да разпространяват приложения извън официалния App Store. Чрез комерсиализиране на пакети шпионски софтуер, които комбинират функции за наблюдение и финансова кражба, злонамерените лица продължават да намаляват техническите бариери за по-малко опитните киберпрестъпници, като същевременно усилват сложността и постоянството на атаките, фокусирани върху мобилни устройства.
ZeroDayRAT подчертава една критична реалност: усъвършенстваните възможности за мобилно наблюдение и финансова експлоатация вече не са ограничени до елитни групи за заплахи, а са все по-достъпни в рамките на киберпрестъпния ъндърграунд.
