ZeroDayRAT mobiilne nuhkvara

Küberturvalisuse uurijad on avastanud keeruka mobiilse nuhkvara platvormi, mida tuntakse nime all ZeroDayRAT ja mida praegu reklaamitakse Telegramis kui terviklikku lahendust tundlike andmete hankimiseks ja reaalajas jälgimiseks nii Androidi kui ka iOS-i seadmetes. Platvorm, mida turustatakse kohe kasutuselevõtuks valmis spionaažikomplektina, ulatub kaugemale lihtsast andmete kogumisest ning hõlmab aktiivset jälgimist ja otsest rahalist ärakasutamist.

Operaator haldab müügi, klienditoe ja pidevate värskenduste jaoks spetsiaalseid Telegrami kanaleid, pakkudes ostjatele tsentraliseeritud juurdepääsu täielikult toimivale nuhkvara ökosüsteemile. See sujuv levitamismudel alandab oluliselt sisenemisbarjääri küberkurjategijatele, kes otsivad täiustatud jälgimisvõimalusi.

Lai seadmete ühilduvus ja paindlik juurutamine

ZeroDayRAT toetab Androidi versioone 5 kuni 16 ja iOS-i versioone kuni 26, tagades laia seadmete leviku. Arvatakse, et pahavara levitatakse peamiselt sotsiaalse manipuleerimise kampaaniate ja petturlike rakenduste turuplatside kaudu, mille eesmärk on petta kasutajaid pahatahtlikke rakendusi installima.

Ostjad saavad pahavara loomise tööriista, mis genereerib kohandatud pahatahtlikke binaarfaile. Neid binaarfaile hallatakse veebipõhise juhtpaneeli kaudu, mille operaatorid saavad oma serveritesse juurutada, andes neile nakatunud seadmete üle täieliku administratiivse kontrolli.

Põhjalik seadmeinfo ja asukoha jälgimine

Pärast installimist annab ZeroDayRAT operaatoritele ulatusliku ülevaate ohustatud seadmest. Ise hostitud halduspaneeli kaudu saavad ründajad juurde pääseda üksikasjalikule teabele, nagu seadme mudel, operatsioonisüsteemi versioon, aku olek, SIM-kaardi andmed, operaatori teave, rakenduste kasutamine, teavituste sisu ja hiljutiste SMS-sõnumite eelvaated. See teave võimaldab ohutegelastel luua üksikasjalikke ohvriprofiile, sealhulgas suhtlusmustreid ja sageli kasutatavaid rakendusi.

Platvorm jäädvustab ka reaalajas GPS-koordinaate ja kaardistab need Google Mapsi abil, lisaks peab see ohvri liikumiste ajaloolist logi. See püsiv geograafilise asukoha jälgimine muudab nakatunud seadme tõhusalt pidevaks jälgimisvahendiks.

Kontode loendamine ja volituste kättesaadavus

Eriti murettekitav funktsioon on paneel „Kontod”, mis loetleb kõik nakatunud seadmes registreeritud kontod. See hõlmab laialdaselt kasutatavaid teenuseid, näiteks:

• Google, WhatsApp, Instagram, Facebook, Telegram
• Amazon, Flipkart, PhonePe, Paytm ja Spotify

Samuti avalikustatakse seotud kasutajanimed või e-posti aadressid, mis võimaldab volituste kogumist, identiteediprofiili koostamist ja potentsiaalseid konto ülevõtmise katseid.

Täiustatud valve ja kahefaktorilise autentimise möödaviik

ZeroDayRAT sisaldab mitmesuguseid pealetükkivaid jälgimis- ja pealtkuulamisvõimalusi. Nende hulka kuuluvad:

• Klahvivajutuste logimine volituste ja privaatse suhtluse jäädvustamiseks
• SMS-sõnumite, sh kahefaktorilise autentimise möödaviiguks kasutatavate ühekordsete paroolide (OTP-de) ekstraheerimine
• Reaalajas kaamera voogedastus ja mikrofoni aktiveerimine otseülekande audiovisuaalseks jälgimiseks

Need funktsioonid võimaldavad vastastel teostada praktilist ja interaktiivset jälgimist, muutes ohustatud seadmed kaugluureandmete kogumise vahenditeks.

Integreeritud krüptovaluuta ja pangavarguste moodulid

Lisaks jälgimisele integreerib pahavara finantsvarguste mehhanisme. Krüptovaluuta varastav komponent otsib rahakotirakendusi nagu MetaMask, Trust Wallet, Binance ja Coinbase. Kui ohver kopeerib rahakoti aadressi lõikelauale, asendab pahavara selle ründaja kontrollitava aadressiga, suunates tehingud kasutaja teadmata ümber.

Spetsiaalne pangandusvaraste moodul on suunatud ka digitaalsetele makseteenustele, sealhulgas Apple Payle, Google Payle, PayPalile ja PhonePe'le. PhonePe kasutab India ühtset maksete liidest (UPI), mis on protokoll, mis on loodud pankadevaheliste ja inimeste ja kaupmeeste vaheliste tehingute hõlbustamiseks, muutes selle atraktiivseks sihtmärgiks rahaliselt motiveeritud osalejatele.

Arenevad mobiilse spionaaži ohud

ZeroDayRAT kujutab endast täielikult pakendatud mobiilset kompromissraamistikku, mille võimalused, mis varem nõudsid riikide ressursse või kohandatud rünnakute väljatöötamist, on nüüd Telegrami kaudu kaubanduslikult saadaval. Üks operaator saab brauseripõhise juurdepääsu ohvri asukohaandmetele, suhtlusele, finantskontodele, kaamera voogule, mikrofoni sisendile ja klahvivajutustele.

See pahavara on kooskõlas laiema mobiiliohtude trendiga, mis kasutavad ära andmepüügikampaaniaid ja ametlike rakenduste turuplatside imbumist. Ründajad on korduvalt tuvastanud meetodeid Apple'i ja Google'i rakendatud kaitsemeetmete möödahiilimiseks, manipuleerides sageli kasutajaid pahatahtlike rakenduste installimiseks.

iOS-seadmetes kuritarvitavad kampaaniad sageli ettevõtte varustamismehhanisme, mis võimaldavad organisatsioonidel levitada rakendusi väljaspool ametlikku App Store'i. Turule toodes nuhkvarapakette, mis ühendavad jälgimis- ja finantsvarguste funktsioone, vähendavad ründajad jätkuvalt tehnilisi takistusi vähem kogenud küberkurjategijatele, võimendades samal ajal mobiilile suunatud rünnakute keerukust ja püsivust.

ZeroDayRAT rõhutab olulist reaalsust: täiustatud mobiilse jälgimise ja finantsilise ärakasutamise võimalused ei piirdu enam eliitohtude rühmitustega, vaid on üha enam kättesaadavad ka küberkuritegevuse põrandaaluses keskkonnas.