ZeroDayRAT Mobil Spionprogramvare
Forskere innen nettsikkerhet har avdekket en sofistikert mobil spionprogramplattform kjent som ZeroDayRAT, som for tiden markedsføres på Telegram som en omfattende løsning for å utvinne sensitive data og utføre sanntidsovervåking på både Android- og iOS-enheter. Plattformen markedsføres som en spionasjepakke som er klar til bruk, og strekker seg langt utover grunnleggende datainnsamling og går også inn i aktiv overvåking og direkte økonomisk utnyttelse.
Operatøren har dedikerte Telegram-kanaler for salg, kundestøtte og kontinuerlige oppdateringer, noe som gir kjøpere sentralisert tilgang til et fullt funksjonelt spionprogramvare-økosystem. Denne strømlinjeformede distribusjonsmodellen reduserer inngangsbarrieren betydelig for nettkriminelle som søker avanserte overvåkingsmuligheter.
Innholdsfortegnelse
Bred enhetskompatibilitet og fleksibel distribusjon
ZeroDayRAT støtter Android-versjoner 5 til 16 og iOS-versjoner opptil 26, noe som sikrer bred enhetsdekning. Skadevaren antas å være distribuert hovedsakelig gjennom sosiale manipuleringskampanjer og uredelige appmarkedsplasser som er utformet for å lure brukere til å installere skadelige apper.
Kjøpere mottar en malware-bygger som genererer tilpassede ondsinnede binærfiler. Disse binærfilene administreres via et online kontrollpanel som operatører kan distribuere på sine egne servere, noe som gir dem full administrativ kontroll over infiserte enheter.
Omfattende enhetsintelligens og posisjonssporing
Når ZeroDayRAT er installert, gir det operatører omfattende innsikt i den kompromitterte enheten. Gjennom et selvhostet administrasjonspanel kan angripere få tilgang til detaljert informasjon som enhetsmodell, operativsystemversjon, batteristatus, SIM-data, operatørinformasjon, applikasjonsbruk, varslingsinnhold og forhåndsvisninger av nylige SMS-meldinger. Denne informasjonen gjør det mulig for trusselaktører å konstruere detaljerte offerprofiler, inkludert kommunikasjonsmønstre og ofte brukte applikasjoner.
Plattformen registrerer også GPS-koordinater i sanntid og kartlegger dem ved hjelp av Google Maps, i tillegg til at den fører en historisk logg over offerets bevegelser. Denne vedvarende geolokasjonssporingen forvandler effektivt den infiserte enheten til et kontinuerlig overvåkingsverktøy.
Kontoopplisting og eksponering av legitimasjon
En spesielt bekymringsverdig funksjon er «Kontoer»-panelet, som lister opp alle kontoer som er registrert på den infiserte enheten. Dette inkluderer mye brukte tjenester som:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm og Spotify
Tilknyttede brukernavn eller e-postadresser blir også eksponert, noe som muliggjør innhenting av legitimasjon, identitetsprofilering og potensielle forsøk på kontoovertakelse.
Avansert overvåking og omgåelse av tofaktorautentisering
ZeroDayRAT har en rekke funksjoner for påtrengende overvåking og avlytting. Disse inkluderer:
- Tastetrykklogging for å fange opp legitimasjon og privat kommunikasjon
- Uttrekk av SMS-meldinger, inkludert engangspassord (OTP-er) som brukes til å omgå tofaktorautentisering
- Kamerastrømming i sanntid og mikrofonaktivering for direktesendt audiovisuell overvåking
Disse funksjonene gjør det mulig for motstandere å utføre praktisk, interaktiv overvåking, og gjøre kompromitterte enheter om til ressurser for fjerninnsamling av etterretning.
Integrerte kryptovaluta- og banktyverimoduler
Utover overvåking integrerer skadevaren mekanismer for økonomisk tyveri. En kryptovaluta-tyverikomponent skanner etter lommebokapplikasjoner som MetaMask, Trust Wallet, Binance og Coinbase. Når et offer kopierer en lommebokadresse til utklippstavlen, erstatter skadevaren den med en adresse kontrollert av angriperen, og omdirigerer transaksjoner uten brukerens viten.
En dedikert banktyvermodul retter seg videre mot digitale betalingstjenester, inkludert Apple Pay, Google Pay, PayPal og PhonePe. PhonePe utnytter Indias Unified Payments Interface (UPI), en protokoll som er utviklet for å legge til rette for peer-to-peer-transaksjoner mellom banker og mellom personer, noe som gjør det til et attraktivt mål for økonomisk motiverte aktører.
Utviklende trusler fra mobilspionasje
ZeroDayRAT representerer et komplett mobilt rammeverk for kompromittering. Funksjoner som tidligere krevde ressurser fra nasjonalstater eller tilpasset utvikling av angrep, er nå kommersielt tilgjengelige via Telegram. En enkelt operatør kan få nettleserbasert tilgang til et offers posisjonsdata, kommunikasjon, økonomiske kontoer, kamerafeed, mikrofoninngang og tastetrykk.
Skadevaren samsvarer med en bredere trend innen mobiltrusler som utnytter phishing-kampanjer og infiltrasjon av offisielle appmarkedsplasser. Angripere har gjentatte ganger identifisert metoder for å omgå sikkerhetstiltak implementert av Apple og Google, og manipulerer ofte brukere til å installere skadelige apper.
På iOS-enheter misbruker kampanjer ofte bedriftsklargjøringsmekanismer som lar organisasjoner distribuere apper utenfor den offisielle App Store. Ved å kommersialisere spionprogrampakker som kombinerer overvåking og funksjoner for økonomisk tyveri, fortsetter trusselaktører å redusere tekniske barrierer for mindre erfarne nettkriminelle, samtidig som de forsterker sofistikasjonen og vedvarenheten til mobilfokuserte angrep.
ZeroDayRAT understreker en kritisk realitet: avansert mobilovervåking og økonomisk utnyttelse er ikke lenger begrenset til elitegrupper, men er i økende grad tilgjengelig innenfor nettkriminalitetsundergrunnen.
