ZeroDayRAT-mobiilivakoiluohjelma

Kyberturvallisuustutkijat ovat paljastaneet hienostuneen mobiilivakoiluohjelma-alustan nimeltä ZeroDayRAT, jota Telegram mainostaa tällä hetkellä kattavana ratkaisuna arkaluonteisten tietojen keräämiseen ja reaaliaikaiseen valvontaan sekä Android- että iOS-laitteilla. Käyttövalmiina vakoiluohjelmistona markkinoitu alusta ulottuu paljon perustietojen keräämistä pidemmälle ja tarjoaa aktiivisen valvonnan ja suoran taloudellisen hyväksikäytön.

Operaattori ylläpitää Telegram-kanavia myyntiä, asiakastukea ja jatkuvia päivityksiä varten, tarjoten ostajille keskitetyn pääsyn täysin toimivaan vakoiluohjelmaekosysteemiin. Tämä virtaviivaistettu jakelumalli madaltaa merkittävästi kyberrikollisten pääsyn markkinoille edistyneitä valvontaominaisuuksia etsiessä.

Laaja laiteyhteensopivuus ja joustava käyttöönotto

ZeroDayRAT tukee Android-versioita 5–16 ja iOS-versioita jopa 26, mikä varmistaa laajan laitekattavuuden. Haittaohjelman uskotaan leviävän pääasiassa sosiaalisen manipuloinnin kampanjoiden ja petollisten sovellusmarkkinapaikkojen kautta, joiden tarkoituksena on huijata käyttäjiä asentamaan haitallisia sovelluksia.

Ostajat saavat haittaohjelmien luontityökalun, joka luo mukautettuja haitallisia binääritiedostoja. Näitä binääritiedostoja hallitaan verkkopohjaisen hallintapaneelin kautta, jonka operaattorit voivat ottaa käyttöön omilla palvelimillaan, mikä antaa heille täyden hallinnan tartunnan saaneisiin laitteisiin.

Kattava laitetiedustelu ja sijainnin seuranta

Asennuksen jälkeen ZeroDayRAT tarjoaa käyttäjille laajan näkyvyyden vaarantuneeseen laitteeseen. Itse isännöidyn hallintapaneelin kautta hyökkääjät voivat käyttää yksityiskohtaisia tietoja, kuten laitteen mallia, käyttöjärjestelmän versiota, akun tilaa, SIM-kortin tietoja, operaattorin tietoja, sovellusten käyttöä, ilmoitusten sisältöä ja viimeisimpien tekstiviestien esikatseluja. Näiden tietojen avulla uhkatoimijat voivat luoda yksityiskohtaisia uhriprofiileja, mukaan lukien viestintämallit ja usein käytetyt sovellukset.

Alusta tallentaa myös reaaliaikaisia GPS-koordinaatteja ja kartoittaa ne Google Mapsin avulla sekä ylläpitää uhrin liikkeiden historiallista lokia. Tämä jatkuva geolokaatioseuranta muuttaa tartunnan saaneen laitteen tehokkaasti jatkuvaksi valvontatyökaluksi.

Tilien luettelointi ja tunnistetietojen altistuminen

Erityisen huolestuttava ominaisuus on ”Tilit”-paneeli, joka luettelee kaikki tartunnan saaneelle laitteelle rekisteröidyt tilit. Tämä sisältää laajalti käytettyjä palveluita, kuten:

• Google, WhatsApp, Instagram, Facebook, Telegram
• Amazon, Flipkart, PhonePe, Paytm ja Spotify

Myös niihin liittyvät käyttäjätunnukset tai sähköpostiosoitteet paljastuvat, mikä mahdollistaa tunnistetietojen keräämisen, identiteettiprofiloinnin ja mahdolliset tilin kaappausyritykset.

Edistynyt valvonta ja kaksivaiheisen todennuksen ohitus

ZeroDayRAT sisältää useita tunkeilevia valvonta- ja sieppausominaisuuksia. Näitä ovat:

• Näppäilyjen lokitiedot tunnistetietojen ja yksityisen viestinnän tallentamiseksi
• Tekstiviestien poiminta, mukaan lukien kaksivaiheisen todennuksen ohitukseen käytettävät kertakäyttöiset salasanat (OTP)
• Reaaliaikainen kamerasuoratoisto ja mikrofonin aktivointi reaaliaikaista audiovisuaalista valvontaa varten

Näiden ominaisuuksien avulla vastustajat voivat suorittaa käytännönläheistä, interaktiivista valvontaa ja muuttaa vaarantuneet laitteet etätiedusteluresursseiksi.

Integroidut kryptovaluutta- ja pankkivarkausmoduulit

Valvonnan lisäksi haittaohjelma integroi taloudellisia varkausmekanismeja. Kryptovaluuttojen varastuskomponentti etsii lompakkosovelluksia, kuten MetaMask, Trust Wallet, Binance ja Coinbase. Kun uhri kopioi lompakon osoitteen leikepöydälle, haittaohjelma korvaa sen hyökkääjän hallinnoimalla osoitteella ja ohjaa tapahtumat uudelleen käyttäjän tietämättä.

Erityinen pankkimaksujen varastajamoduuli kohdistaa toimintansa digitaalisiin maksupalveluihin, kuten Apple Payhin, Google Payhin, PayPaliin ja PhonePeen. PhonePe hyödyntää Intian Unified Payments Interface (UPI) -protokollaa, joka on suunniteltu helpottamaan pankkien välisiä vertaismaksuja ja henkilöiden ja kauppiaiden välisiä maksutapahtumia, mikä tekee siitä houkuttelevan kohteen taloudellisesti motivoituneille toimijoille.

Kehittyvät mobiilivakoilun uhat

ZeroDayRAT edustaa täysin paketoitua mobiilikompromissikehystä, jonka ominaisuudet, jotka aiemmin vaativat kansallisvaltioiden resursseja tai räätälöityä hyökkäysten kehittämistä, ovat nyt kaupallisesti saatavilla Telegramin kautta. Yksi operaattori voi saada selainpohjaisen pääsyn uhrin sijaintitietoihin, viestintään, taloustileihin, kameran syötteeseen, mikrofonituloihin ja näppäinpainalluksiin.

Haittaohjelma on linjassa laajemman mobiiliuhkien trendin kanssa, jotka hyödyntävät tietojenkalastelukampanjoita ja virallisten sovellusten markkinapaikkojen tunkeutumista. Hyökkääjät ovat toistuvasti tunnistaneet tapoja kiertää Applen ja Googlen toteuttamia suojaustoimia, usein manipuloimalla käyttäjiä asentamaan haitallisia sovelluksia.

iOS-laitteilla kampanjat usein väärinkäyttävät yritysten tarjoamismekanismeja, jotka sallivat organisaatioiden levittää sovelluksia virallisen App Storen ulkopuolelle. Kaupallistamalla vakoiluohjelmapaketteja, jotka yhdistävät valvonta- ja talousvarkausominaisuuksia, uhkatoimijat jatkavat teknisten esteiden vähentämistä vähemmän kokeneilta kyberrikollisilta ja samalla vahvistavat mobiililaitteille suunnattujen hyökkäysten hienostuneisuutta ja pysyvyyttä.

ZeroDayRAT korostaa kriittistä todellisuutta: edistyneet mobiilivalvonta- ja taloudellisen hyväksikäytön ominaisuudet eivät ole enää rajoittuneet eliittiryhmiin, vaan ne ovat yhä enemmän saatavilla maanalaisen kyberrikollisuuden sisällä.