ZeroDayRAT mobilā spiegprogrammatūra

Kiberdrošības pētnieki ir atklājuši sarežģītu mobilo spiegprogrammatūru platformu, kas pazīstama kā ZeroDayRAT, un pašlaik tiek reklamēta Telegram platformā kā visaptverošs risinājums sensitīvu datu ieguvei un reāllaika uzraudzības veikšanai gan Android, gan iOS ierīcēs. Platforma, kas tiek reklamēta kā gatavs izvietošanai, sniedzas tālāk par pamata datu vākšanu un iesaistās aktīvā uzraudzībā un tiešā finansiālā izmantošanā.

Operators uztur īpašus Telegram kanālus pārdošanai, klientu atbalstam un pastāvīgiem atjauninājumiem, nodrošinot pircējiem centralizētu piekļuvi pilnībā funkcionējošai spiegprogrammatūras ekosistēmai. Šis racionalizētais izplatīšanas modelis ievērojami pazemina piekļuves barjeras kibernoziedzniekiem, kas meklē uzlabotas novērošanas iespējas.

Plaša ierīču saderība un elastīga izvietošana

ZeroDayRAT atbalsta Android versijas no 5 līdz 16 un iOS versijas līdz 26, nodrošinot plašu ierīču pārklājumu. Tiek uzskatīts, ka ļaunprogrammatūra galvenokārt tiek izplatīta, izmantojot sociālās inženierijas kampaņas un krāpnieciskas lietotņu tirdzniecības platformas, kas paredzētas, lai maldinātu lietotājus, liekot viņiem instalēt ļaunprātīgas lietotnes.

Pircēji saņem ļaunprogrammatūras veidotāju, kas ģenerē pielāgotus ļaunprātīgus bināros failus. Šie binārie faili tiek pārvaldīti, izmantojot tiešsaistes vadības paneli, ko operatori var izvietot savos serveros, piešķirot viņiem pilnīgu administratīvo kontroli pār inficētajām ierīcēm.

Visaptveroša ierīču informācija un atrašanās vietas izsekošana

Pēc instalēšanas ZeroDayRAT nodrošina operatoriem plašu pārredzamību apdraudētajā ierīcē. Izmantojot pašmitinātu pārvaldības paneli, uzbrucēji var piekļūt detalizētai informācijai, piemēram, ierīces modelim, operētājsistēmas versijai, akumulatora statusam, SIM datiem, operatora informācijai, lietojumprogrammu lietojumam, paziņojumu saturam un nesen saņemto īsziņu priekšskatījumiem. Šī informācija ļauj apdraudējumu dalībniekiem izveidot detalizētus upuru profilus, tostarp saziņas modeļus un bieži izmantotās lietojumprogrammas.

Platforma arī fiksē tiešraides GPS koordinātas un kartē tās, izmantojot Google Maps, kā arī uztur upura pārvietošanās vēsturisko žurnālu. Šī pastāvīgā ģeolokācijas izsekošana efektīvi pārveido inficēto ierīci par nepārtrauktas novērošanas rīku.

Kontu uzskaitīšana un akreditācijas datu iedarbība

Īpaši satraucoša funkcija ir panelis “Konti”, kurā ir uzskaitīti visi inficētajā ierīcē reģistrētie konti. Tas ietver plaši izmantotus pakalpojumus, piemēram:

• Google, WhatsApp, Instagram, Facebook, Telegram
• Amazon, Flipkart, PhonePe, Paytm un Spotify

Tiek atklāti arī saistītie lietotājvārdi vai e-pasta adreses, kas ļauj iegūt akreditācijas datus, veikt identitātes profilēšanu un potenciāli mēģināt pārņemt kontu.

Uzlabota novērošana un divfaktoru autentifikācijas apvedceļš

ZeroDayRAT ietver virkni uzmācīgas novērošanas un pārtveršanas iespēju. Tās ietver:

• Taustiņsitienu reģistrēšana, lai reģistrētu akreditācijas datus un privāto saziņu
• Īsziņu, tostarp vienreizējo paroļu (OTP), kas tiek izmantotas divfaktoru autentifikācijas apiešanai, iegūšana
• Reāllaika kameras straumēšana un mikrofona aktivizēšana tiešraides audiovizuālajai uzraudzībai

Šīs funkcijas ļauj pretiniekiem veikt praktisku, interaktīvu novērošanu, pārvēršot apdraudētas ierīces attālinātos izlūkošanas informācijas vākšanas līdzekļos.

Integrēti kriptovalūtas un banku zādzību moduļi

Papildus novērošanai ļaunprogrammatūra integrē finanšu zādzību mehānismus. Kriptovalūtas zagšanas komponents skenē tādus maku lietojumus kā MetaMask, Trust Wallet, Binance un Coinbase. Kad upuris kopē maka adresi starpliktuvē, ļaunprogrammatūra to aizstāj ar uzbrucēja kontrolētu adresi, novirzot darījumus bez lietotāja ziņas.

Īpašs banku pakalpojumu zagļu modulis ir vērsts arī uz digitālo maksājumu pakalpojumiem, tostarp Apple Pay, Google Pay, PayPal un PhonePe. PhonePe izmanto Indijas vienoto maksājumu saskarni (UPI) — protokolu, kas izstrādāts, lai atvieglotu starpbanku vienādranga un starp personām un tirgotājiem veiktus darījumus, padarot to par pievilcīgu mērķi finansiāli motivētiem dalībniekiem.

Attīstošie mobilo spiegošanas draudi

ZeroDayRAT ir pilnībā funkcionāla mobilo ierīču kompromisu platforma, kuras iespējas, kurām iepriekš bija nepieciešami valsts resursi vai pielāgota ievainojamības izstrāde, tagad ir komerciāli pieejamas, izmantojot Telegram. Viens operators var iegūt pārlūkprogrammā balstītu piekļuvi upura atrašanās vietas datiem, saziņai, finanšu kontiem, kameras attēlam, mikrofona ievadei un taustiņsitieniem.

Šī ļaunprogrammatūra atbilst plašākai mobilo apdraudējumu tendencei, kas izmanto pikšķerēšanas kampaņas un iekļūšanu oficiālajās lietotņu tirdzniecības vietās. Uzbrucēji ir atkārtoti identificējuši metodes, kā apiet Apple un Google ieviestos drošības pasākumus, bieži vien manipulējot ar lietotājiem, lai tie instalētu ļaunprātīgas lietotnes.

iOS ierīcēs kampaņas bieži ļaunprātīgi izmanto uzņēmumu nodrošināšanas mehānismus, kas ļauj organizācijām izplatīt lietojumprogrammas ārpus oficiālā App Store veikala. Komercializējot spiegprogrammatūras pakotnes, kas apvieno uzraudzības un finanšu zādzību funkcijas, apdraudējumu izpildītāji turpina mazināt tehniskos šķēršļus mazāk pieredzējušiem kibernoziedzniekiem, vienlaikus pastiprinot uz mobilajām ierīcēm vērstu uzbrukumu sarežģītību un noturību.

ZeroDayRAT uzsver kritisku realitāti: uzlabotas mobilās novērošanas un finansiālās izmantošanas iespējas vairs nav pieejamas tikai elites apdraudējumu grupām, bet gan arvien vairāk ir pieejamas kibernoziedzības pagrīdes ietvaros.