„ZeroDayRAT“ mobiliųjų įrenginių šnipinėjimo programa
Kibernetinio saugumo tyrėjai atrado sudėtingą mobiliųjų įrenginių šnipinėjimo programų platformą, vadinamą „ZeroDayRAT“, kuri šiuo metu „Telegram“ platformoje reklamuojama kaip išsamus sprendimas jautrių duomenų išgavimui ir stebėjimui realiuoju laiku tiek „Android“, tiek „iOS“ įrenginiuose. Platforma, parduodama kaip paruoštas diegti šnipinėjimo paketas, apima daug daugiau nei pagrindinį duomenų rinkimą ir leidžia užsiimti aktyvia stebėsena bei tiesioginiu finansiniu išnaudojimu.
Operatorius palaiko specialius „Telegram“ kanalus pardavimams, klientų aptarnavimui ir nuolatiniams atnaujinimams, suteikdamas pirkėjams centralizuotą prieigą prie visiškai funkcionuojančios šnipinėjimo programų ekosistemos. Šis supaprastintas platinimo modelis gerokai sumažina patekimo į rinką kliūtis kibernetiniams nusikaltėliams, ieškantiems pažangių stebėjimo galimybių.
Turinys
Platus įrenginių suderinamumas ir lankstus diegimas
„ZeroDayRAT“ palaiko „Android“ 5–16 versijas ir „iOS“ iki 26 versijų, užtikrindama platų įrenginių aprėptį. Manoma, kad kenkėjiška programa daugiausia platinama per socialinės inžinerijos kampanijas ir apgaulingas programėlių prekyvietes, skirtas apgauti vartotojus, kad jie įdiegtų kenkėjiškas programas.
Pirkėjai gauna kenkėjiškų programų kūrimo įrankį, kuris generuoja pritaikytus kenkėjiškus dvejetainius failus. Šie dvejetainiai failai valdomi per internetinę valdymo skydą, kurį operatoriai gali įdiegti savo serveriuose, suteikdami jiems visišką administratoriaus kontrolę užkrėstuose įrenginiuose.
Išsamus įrenginių išmanumas ir vietos sekimas
Įdiegus „ZeroDayRAT“, operatoriai gali išsamiai matyti pažeistą įrenginį. Naudodamiesi savarankiškai talpinamu valdymo skydeliu, užpuolikai gali pasiekti išsamią informaciją, pvz., įrenginio modelį, operacinės sistemos versiją, akumuliatoriaus būseną, SIM kortelės duomenis, operatoriaus informaciją, programų naudojimą, pranešimų turinį ir naujausių SMS žinučių peržiūras. Ši žvalgybos informacija leidžia grėsmių kūrėjams kurti išsamius aukų profilius, įskaitant bendravimo modelius ir dažnai naudojamas programas.
Platforma taip pat fiksuoja tiesiogines GPS koordinates ir jas susieja naudodama „Google“ žemėlapius, kartu tvarkydama aukos judėjimo istorinį žurnalą. Šis nuolatinis geolokacijos sekimas efektyviai paverčia užkrėstą įrenginį nuolatinio stebėjimo įrankiu.
Paskyrų išvardijimas ir kredencialų atskleidimas
Ypač nerimą kelianti funkcija yra „Paskyrų“ skydelis, kuriame išvardytos visos užkrėstame įrenginyje užregistruotos paskyros. Tai apima plačiai naudojamas paslaugas, tokias kaip:
- Google, WhatsApp, Instagram, Facebook, Telegram
- „Amazon“, „Flipkart“, „PhonePe“, „Paytm“ ir „Spotify“
Taip pat atskleidžiami susieti vartotojo vardai arba el. pašto adresai, todėl galima rinkti prisijungimo duomenis, profiliuoti tapatybę ir bandyti perimti paskyrą.
Pažangus stebėjimas ir dviejų veiksnių autentifikavimo apėjimas
„ZeroDayRAT“ apima įvairias įkyrias stebėjimo ir perėmimo galimybes. Tai apima:
- Klavišų paspaudimų registravimas, siekiant užfiksuoti kredencialus ir privačius pranešimus
- SMS žinučių, įskaitant vienkartinius slaptažodžius (OTP), naudojamus dviejų veiksnių autentifikavimui apeiti, išgavimas
- Kameros transliacija realiuoju laiku ir mikrofono aktyvavimas tiesioginiam garso ir vaizdo stebėjimui
Šios funkcijos leidžia priešininkams vykdyti praktinį, interaktyvų stebėjimą, paverčiant pažeistus įrenginius nuotoliniais žvalgybos informacijos rinkimo ištekliais.
Integruoti kriptovaliutų ir banko vagysčių moduliai
Be stebėjimo, kenkėjiška programa integruoja finansinių vagysčių mechanizmus. Kriptovaliutų vagystės komponentas nuskaito piniginės programas, tokias kaip „MetaMask“, „Trust Wallet“, „Binance“ ir „Coinbase“. Kai auka nukopijuoja piniginės adresą į iškarpinę, kenkėjiška programa jį pakeičia užpuoliko kontroliuojamu adresu, nukreipdama operacijas be vartotojo žinios.
Specialus bankininkystės vagystės modulis taip pat taikomas skaitmeninėms mokėjimo paslaugoms, įskaitant „Apple Pay“, „Google Pay“, „PayPal“ ir „PhonePe“. „PhonePe“ naudoja Indijos vieningąją mokėjimų sąsają (UPI) – protokolą, skirtą palengvinti tarpbankinius tarpusavio ir asmenų bei prekybininkų mokėjimus, todėl tai yra patrauklus taikinys finansiškai motyvuotiems veikėjams.
Besivystančios mobiliojo šnipinėjimo grėsmės
„ZeroDayRAT“ yra visiškai supakuota mobiliųjų įrenginių kompromitavimo sistema, kurios galimybės, kurioms anksčiau reikėjo nacionalinių valstybių išteklių arba individualių spragų kūrimo, dabar yra komerciškai prieinamos per „Telegram“. Vienas operatorius gali gauti naršyklėje pagrįstą prieigą prie aukos vietos duomenų, komunikacijos, finansinių sąskaitų, kameros vaizdo, mikrofono įvesties ir klavišų paspaudimų.
Kenkėjiška programa atitinka platesnę mobiliųjų įrenginių grėsmių tendenciją, kai naudojamos sukčiavimo apsimetant programėlėmis kampanijos ir įsiskverbimas į oficialias programėlių prekyvietes. Užpuolikai ne kartą nustatė būdų, kaip apeiti „Apple“ ir „Google“ įdiegtas apsaugos priemones, dažnai manipuliuodami vartotojais, kad šie įdiegtų kenkėjiškas programas.
„iOS“ įrenginiuose kampanijos dažnai piktnaudžiauja įmonių aprūpinimo mechanizmais, kurie leidžia organizacijoms platinti programas už oficialios „App Store“ ribų. Komercializuodami šnipinėjimo programų paketus, kuriuose derinamos stebėjimo ir finansinių vagysčių funkcijos, kibernetinių nusikaltėlių veikėjai ir toliau mažina technines kliūtis mažiau patyrusiems kibernetiniams nusikaltėliams, kartu didindami mobiliesiems įrenginiams skirtų atakų sudėtingumą ir atkaklumą.
„ZeroDayRAT“ pabrėžia kritinę realybę: pažangios mobiliojo stebėjimo ir finansinio išnaudojimo galimybės nebėra apsiribojančios elitinėmis grėsmės grupėmis, bet yra vis labiau prieinamos kibernetinių nusikaltimų pogrindyje.
