ZeroDayRAT Mobile Spyware
Badacze cyberbezpieczeństwa odkryli zaawansowaną mobilną platformę szpiegowską o nazwie ZeroDayRAT, promowaną obecnie w Telegramie jako kompleksowe rozwiązanie do pozyskiwania poufnych danych i prowadzenia inwigilacji w czasie rzeczywistym na urządzeniach z systemem Android i iOS. Platforma, reklamowana jako gotowy do wdrożenia pakiet szpiegowski, wykracza daleko poza podstawowe zbieranie danych, oferując aktywny monitoring i bezpośrednią eksploatację finansową.
Operator utrzymuje dedykowane kanały Telegram do sprzedaży, obsługi klienta i bieżących aktualizacji, zapewniając kupującym scentralizowany dostęp do w pełni funkcjonalnego ekosystemu oprogramowania szpiegującego. Ten usprawniony model dystrybucji znacznie obniża barierę wejścia dla cyberprzestępców poszukujących zaawansowanych możliwości inwigilacji.
Spis treści
Szeroka kompatybilność urządzeń i elastyczne wdrażanie
ZeroDayRAT obsługuje systemy Android w wersjach od 5 do 16 oraz iOS do 26, zapewniając szeroki zasięg działania na urządzeniach. Uważa się, że złośliwe oprogramowanie jest rozpowszechniane głównie za pośrednictwem kampanii socjotechnicznych i fałszywych sklepów z aplikacjami, których celem jest nakłonienie użytkowników do zainstalowania złośliwych aplikacji.
Kupujący otrzymują narzędzie do tworzenia złośliwego oprogramowania, które generuje spersonalizowane pliki binarne. Pliki binarne są zarządzane za pośrednictwem internetowego panelu sterowania, który operatorzy mogą wdrożyć na swoich serwerach, co zapewnia im pełną kontrolę administracyjną nad zainfekowanymi urządzeniami.
Kompleksowa inteligencja urządzeń i śledzenie lokalizacji
Po zainstalowaniu, ZeroDayRAT zapewnia operatorom szeroki wgląd w zainfekowane urządzenie. Za pośrednictwem własnego panelu zarządzania, atakujący mogą uzyskać dostęp do szczegółowych informacji, takich jak model urządzenia, wersja systemu operacyjnego, stan baterii, dane karty SIM, informacje o operatorze, użycie aplikacji, treść powiadomień oraz podgląd ostatnich wiadomości SMS. Ta inteligencja umożliwia atakującym tworzenie szczegółowych profili ofiar, w tym wzorców komunikacji i często używanych aplikacji.
Platforma rejestruje również współrzędne GPS na żywo i mapuje je za pomocą Map Google, a także prowadzi rejestr historii przemieszczania się ofiary. To ciągłe śledzenie geolokalizacji skutecznie przekształca zainfekowane urządzenie w narzędzie do ciągłego nadzoru.
Wyliczanie kont i ujawnianie danych uwierzytelniających
Szczególnie niepokojącą funkcją jest panel „Konta”, który zawiera listę wszystkich kont zarejestrowanych na zainfekowanym urządzeniu. Obejmuje to powszechnie używane usługi, takie jak:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm i Spotify
Wyciekają również powiązane nazwy użytkowników i adresy e-mail, co umożliwia zbieranie danych uwierzytelniających, profilowanie tożsamości i potencjalne próby przejęcia konta.
Zaawansowany nadzór i ominięcie uwierzytelniania dwuskładnikowego
ZeroDayRAT oferuje szereg inwazyjnych funkcji nadzoru i przechwytywania. Należą do nich:
- Rejestrowanie naciśnięć klawiszy w celu przechwytywania danych uwierzytelniających i prywatnej komunikacji
- Ekstrakcja wiadomości SMS, w tym jednorazowych haseł (OTP) używanych do ominięcia uwierzytelniania dwuskładnikowego
- Transmisja strumieniowa z kamery w czasie rzeczywistym i aktywacja mikrofonu do monitorowania audiowizualnego na żywo
Dzięki tym funkcjom przeciwnicy mogą prowadzić bezpośrednią, interaktywną obserwację, zmieniając zainfekowane urządzenia w zdalne zasoby służące do gromadzenia informacji wywiadowczych.
Zintegrowane moduły ochrony przed kryptowalutami i kradzieżą bankową
Oprócz inwigilacji, złośliwe oprogramowanie integruje mechanizmy kradzieży finansów. Komponent wykradający kryptowaluty skanuje aplikacje portfelowe, takie jak MetaMask, Trust Wallet, Binance i Coinbase. Gdy ofiara kopiuje adres portfela do schowka, złośliwe oprogramowanie podmienia go na adres kontrolowany przez atakującego, przekierowując transakcje bez wiedzy użytkownika.
Dedykowany moduł bankowy wykrada również usługi płatności cyfrowych, takie jak Apple Pay, Google Pay, PayPal i PhonePe. PhonePe wykorzystuje indyjski Unified Payments Interface (UPI), protokół zaprojektowany w celu ułatwienia międzybankowych transakcji peer-to-peer i transakcji między osobami a sprzedawcami, co czyni go atrakcyjnym celem dla podmiotów motywowanych finansowo.
Rozwijające się zagrożenia mobilnego szpiegostwa
ZeroDayRAT to w pełni spakowane narzędzie do ataków na urządzenia mobilne. Funkcje, które wcześniej wymagały zasobów państwowych lub tworzenia dedykowanych exploitów, są teraz dostępne komercyjnie za pośrednictwem Telegrama. Pojedynczy operator może uzyskać dostęp przez przeglądarkę do danych o lokalizacji ofiary, komunikacji, kont finansowych, obrazu z kamery, danych z mikrofonu i naciśnięć klawiszy.
Szkodliwe oprogramowanie wpisuje się w szerszy trend zagrożeń mobilnych, wykorzystujących kampanie phishingowe i infiltrację oficjalnych sklepów z aplikacjami. Atakujący wielokrotnie identyfikowali metody obchodzenia zabezpieczeń wdrożonych przez Apple i Google, często manipulując użytkownikami w celu zainstalowania złośliwych aplikacji.
Na urządzeniach z systemem iOS kampanie często wykorzystują mechanizmy provisioningu przedsiębiorstw, które umożliwiają organizacjom dystrybucję aplikacji poza oficjalnym App Store. Komercjalizując pakiety oprogramowania szpiegującego, które łączą funkcje inwigilacji i kradzieży danych finansowych, cyberprzestępcy nadal zmniejszają bariery techniczne dla mniej doświadczonych cyberprzestępców, jednocześnie zwiększając wyrafinowanie i uporczywość ataków ukierunkowanych na urządzenia mobilne.
ZeroDayRAT podkreśla istotną prawdę: zaawansowane możliwości mobilnego nadzoru i wykorzystywania finansowego nie są już zarezerwowane wyłącznie dla elitarnych grup przestępczych, ale stają się coraz bardziej dostępne w podziemiu cyberprzestępczości.
