ZeroDayRAT mobil kémprogram
Kiberbiztonsági kutatók lelepleztek egy kifinomult mobil kémprogram-platformot, a ZeroDayRAT-ot, amelyet jelenleg a Telegramon reklámoznak, mint átfogó megoldást érzékeny adatok kinyerésére és valós idejű megfigyelésre Android és iOS eszközökön egyaránt. A telepítésre kész kémprogram-csomagként forgalmazott platform messze túlmutat az alapvető adatgyűjtésen, és az aktív megfigyelésre és a közvetlen pénzügyi kizsákmányolásra is vállalkozik.
Az üzemeltető dedikált Telegram-csatornákat tart fenn az értékesítés, az ügyfélszolgálat és a folyamatos frissítések számára, központosított hozzáférést biztosítva a vásárlóknak egy teljes mértékben működőképes kémprogram-ökoszisztémához. Ez az egyszerűsített terjesztési modell jelentősen csökkenti a belépési korlátokat a fejlett megfigyelési képességeket kereső kiberbűnözők számára.
Tartalomjegyzék
Széleskörű eszközkompatibilitás és rugalmas telepítés
A ZeroDayRAT az Android 5-től 16-ig, az iOS 26-os verziójáig támogatja az eszközöket, így széles körű eszközlefedettséget biztosít. A rosszindulatú programról úgy vélik, hogy elsősorban szociális manipulációs kampányokon és csalárd alkalmazáspiactereken keresztül terjed, amelyek célja, hogy megtévesszék a felhasználókat rosszindulatú alkalmazások telepítésére.
A vásárlók egy kártevő-készítőt kapnak, amely testreszabott kártékony bináris fájlokat generál. Ezeket a bináris fájlokat egy online vezérlőpulton keresztül kezelik, amelyet az operátorok telepíthetnek saját szervereikre, teljes adminisztrátori ellenőrzést biztosítva számukra a fertőzött eszközök felett.
Átfogó eszközintelligencia és helymeghatározás
A telepítést követően a ZeroDayRAT széleskörű rálátást biztosít a felhasználóknak a feltört eszközre. Egy saját üzemeltetésű kezelőpanelen keresztül a támadók részletes információkhoz férhetnek hozzá, mint például az eszköz modellje, az operációs rendszer verziója, az akkumulátor állapota, a SIM-kártya adatai, a szolgáltató adatai, az alkalmazáshasználat, az értesítések tartalma és a legutóbbi SMS-üzenetek előnézete. Ez az információ lehetővé teszi a kibertámadások szereplői számára, hogy részletes áldozatprofilokat hozzanak létre, beleértve a kommunikációs mintákat és a gyakran használt alkalmazásokat.
A platform élő GPS-koordinátákat is rögzít, és a Google Térkép segítségével térképen jeleníti meg azokat, valamint naplózza az áldozat mozgását. Ez a folyamatos geolokációs követés hatékonyan alakítja át a fertőzött eszközt folyamatos megfigyelőeszközzé.
Fiókfelsorolás és hitelesítő adatok elérhetősége
Különösen aggasztó a „Fiókok” panel, amely felsorolja a fertőzött eszközön regisztrált összes fiókot. Ez magában foglalja a széles körben használt szolgáltatásokat, mint például:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm és Spotify
A társított felhasználónevek vagy e-mail címek is nyilvánosságra kerülnek, lehetővé téve a hitelesítő adatok gyűjtését, az identitásprofilozást és a fiókok átvételének esetleges kísérleteit.
Fejlett megfigyelés és kétfaktoros hitelesítés megkerülése
A ZeroDayRAT számos behatolásos megfigyelési és lehallgatási képességet tartalmaz. Ezek a következők:
- Billentyűleütés-naplózás a hitelesítő adatok és a privát kommunikáció rögzítéséhez
- SMS-üzenetek kinyerése, beleértve az egyszer használatos jelszavakat (OTP-ket), amelyeket a kétfaktoros hitelesítés megkerüléséhez használnak
- Valós idejű kamera streamelés és mikrofon aktiválás élő audiovizuális megfigyeléshez
Ezek a funkciók lehetővé teszik az ellenfelek számára, hogy gyakorlati, interaktív megfigyelést végezzenek, és a feltört eszközöket távoli hírszerzési eszközökké alakítsák.
Integrált kriptovaluta és banki lopás elleni modulok
A megfigyelésen túl a rosszindulatú program pénzügyi lopási mechanizmusokat is integrál. Egy kriptovaluta-tolvaj komponens olyan tárcaalkalmazásokat keres, mint a MetaMask, a Trust Wallet, a Binance és a Coinbase. Amikor egy áldozat egy tárcacímet másol a vágólapra, a rosszindulatú program azt egy, a támadó által ellenőrzött címmel helyettesíti, átirányítva a tranzakciókat a felhasználó tudta nélkül.
Egy dedikált banki tranzakciókat ellopó modul további célpontokat jelent a digitális fizetési szolgáltatásoknak, beleértve az Apple Pay-t, a Google Pay-t, a PayPal-t és a PhonePe-t. A PhonePe az indiai Unified Payments Interface (UPI) protokollt használja, amely a bankok közötti peer-to-peer és a személy-kereskedő tranzakciók megkönnyítésére szolgál, így vonzó célponttá válik a pénzügyileg motivált szereplők számára.
Fejlődő mobil kémkedési fenyegetések
A ZeroDayRAT egy teljes értékű mobil kompromittáló keretrendszert képvisel, amelynek olyan képességei, amelyek korábban nemzetállami erőforrásokat vagy egyedi fejlesztést igényeltek, most kereskedelmi forgalomban is elérhetők a Telegramon keresztül. Egyetlen operátor böngészőalapú hozzáférést kaphat az áldozat helyadataihoz, kommunikációjához, pénzügyi számláihoz, kameraképéhez, mikrofonbemenetéhez és billentyűleütéseihez.
A rosszindulatú program összhangban van a mobilfenyegetések szélesebb körű trendjével, amelyek adathalász kampányokat és a hivatalos alkalmazáspiacterekbe való beszivárgást használnak ki. A támadók ismételten azonosítottak módszereket az Apple és a Google által bevezetett védelmi intézkedések megkerülésére, gyakran manipulálva a felhasználókat rosszindulatú alkalmazások telepítésére.
iOS-eszközökön a kampányok gyakran visszaélnek a vállalati hozzáférési mechanizmusokkal, amelyek lehetővé teszik a szervezetek számára, hogy alkalmazásokat terjesszenek a hivatalos App Store-on kívül. A megfigyelési és pénzügyi lopási funkciókat ötvöző kémprogram-csomagok kereskedelmi forgalomba hozatalával a kiberfenyegető szereplők továbbra is csökkentik a kevésbé tapasztalt kiberbűnözők technikai akadályait, miközben fokozzák a mobilközpontú támadások kifinomultságát és tartósságát.
A ZeroDayRAT rávilágít egy kritikus valóságra: a fejlett mobil megfigyelési és pénzügyi kizsákmányolási képességek már nem korlátozódnak az elit fenyegető csoportokra, hanem egyre inkább elérhetők a kiberbűnözés földalatti hálózatán belül is.
