Programari espia mòbil ZeroDayRAT
Investigadors de ciberseguretat han descobert una sofisticada plataforma de programari espia per a mòbils coneguda com a ZeroDayRAT, que actualment es promociona a Telegram com una solució integral per extreure dades sensibles i dur a terme vigilància en temps real tant en dispositius Android com iOS. Comercialitzada com un conjunt d'espionatge llest per desplegar, la plataforma va molt més enllà de la recopilació bàsica de dades i s'endinsa en la monitorització activa i l'explotació financera directa.
L'operador manté canals de Telegram dedicats a vendes, assistència al client i actualitzacions contínues, proporcionant als compradors accés centralitzat a un ecosistema de programari espia totalment funcional. Aquest model de distribució simplificat redueix significativament la barrera d'entrada per als ciberdelinqüents que busquen capacitats de vigilància avançades.
Taula de continguts
Àmplia compatibilitat de dispositius i implementació flexible
ZeroDayRAT admet les versions d'Android 5 a 16 i les versions d'iOS fins a la 26, cosa que garanteix una àmplia cobertura de dispositius. Es creu que el programari maliciós es distribueix principalment a través de campanyes d'enginyeria social i mercats d'aplicacions fraudulentes dissenyats per enganyar els usuaris perquè instal·lin aplicacions malicioses.
Els compradors reben un creador de programari maliciós que genera binaris maliciosos personalitzats. Aquests binaris es gestionen a través d'un panell de control en línia que els operadors poden implementar als seus propis servidors, cosa que els atorga un control administratiu total sobre els dispositius infectats.
Intel·ligència completa de dispositius i seguiment de la ubicació
Un cop instal·lat, ZeroDayRAT proporciona als operadors una àmplia visibilitat del dispositiu compromès. A través d'un panell de gestió autoallotjat, els atacants poden accedir a informació detallada com ara el model del dispositiu, la versió del sistema operatiu, l'estat de la bateria, les dades de la SIM, la informació de l'operador, l'ús de les aplicacions, el contingut de les notificacions i les vistes prèvies dels missatges SMS recents. Aquesta intel·ligència permet als actors amenaçadors construir perfils detallats de les víctimes, inclosos els patrons de comunicació i les aplicacions utilitzades amb freqüència.
La plataforma també captura coordenades GPS en directe i les cartografia mitjançant Google Maps, a més de mantenir un registre històric dels moviments de la víctima. Aquest seguiment persistent de geolocalització transforma eficaçment el dispositiu infectat en una eina de vigilància contínua.
Enumeració de comptes i exposició de credencials
Una característica particularment preocupant és el panell "Comptes", que enumera tots els comptes registrats al dispositiu infectat. Això inclou serveis àmpliament utilitzats com ara:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm i Spotify
Els noms d'usuari o les adreces de correu electrònic associades també queden exposades, cosa que permet la recopilació de credencials, la creació de perfils d'identitat i possibles intents d'assumpció de comptes.
Vigilància avançada i bypass d’autenticació de dos factors
ZeroDayRAT incorpora una gamma de capacitats de vigilància intrusiva i intercepció. Aquestes inclouen:
- Registre de pulsacions de tecles per capturar credencials i comunicacions privades
- Extracció de missatges SMS, incloses les contrasenyes d'un sol ús (OTP) utilitzades per a l'elusió de l'autenticació de dos factors
- Transmissió de càmera en temps real i activació del micròfon per a la monitorització audiovisual en directe
Aquestes característiques permeten als adversaris dur a terme una vigilància pràctica i interactiva, convertint els dispositius compromesos en actius de recopilació d'intel·ligència remota.
Mòduls integrats de criptomoneda i robatori bancari
Més enllà de la vigilància, el programari maliciós integra mecanismes de robatori financer. Un component de robatori de criptomonedes busca aplicacions de moneder com ara MetaMask, Trust Wallet, Binance i Coinbase. Quan una víctima copia una adreça de moneder al porta-retalls, el programari maliciós la substitueix per una adreça controlada per l'atacant, redirigint les transaccions sense que l'usuari se n'adoni.
Un mòdul dedicat al lladre de serveis bancaris també té com a objectiu els serveis de pagament digital, com ara Apple Pay, Google Pay, PayPal i PhonePe. PhonePe aprofita la Interfície Unificada de Pagaments (UPI) de l'Índia, un protocol dissenyat per facilitar les transaccions interbancàries entre iguals i entre persones i comerciants, cosa que el converteix en un objectiu atractiu per a actors amb motivacions financeres.
Amenaces d’espionatge mòbil en evolució
ZeroDayRAT representa un marc de treball de compromís mòbil completament empaquetat, amb capacitats que abans requerien recursos de l'estat nació o desenvolupament d'explotacions personalitzades, ara estan disponibles comercialment a través de Telegram. Un sol operador pot obtenir accés basat en navegador a les dades de localització, comunicacions, comptes financers, transmissió de la càmera, entrada del micròfon i pulsacions de tecles d'una víctima.
El programari maliciós s'alinea amb una tendència més àmplia d'amenaces mòbils que exploten campanyes de phishing i la infiltració en mercats oficials d'aplicacions. Els atacants han identificat repetidament mètodes per eludir les mesures de seguretat implementades per Apple i Google, sovint manipulant els usuaris perquè instal·lin aplicacions malicioses.
En dispositius iOS, les campanyes sovint abusen dels mecanismes de subministrament empresarial que permeten a les organitzacions distribuir aplicacions fora de l'App Store oficial. En comercialitzar paquets de programari espia que combinen funcions de vigilància i robatori financer, els actors d'amenaces continuen reduint les barreres tècniques per als ciberdelinqüents menys experimentats, alhora que amplifiquen la sofisticació i la persistència dels atacs centrats en mòbils.
ZeroDayRAT subratlla una realitat crítica: les capacitats avançades de vigilància mòbil i explotació financera ja no es limiten als grups d'amenaces d'elit, sinó que són cada cop més accessibles dins de la ciberdelinqüència clandestina.
