ZeroDayRAT — мобильное шпионское ПО.
Исследователи в области кибербезопасности обнаружили сложную мобильную шпионскую платформу под названием ZeroDayRAT, которая в настоящее время рекламируется в Telegram как комплексное решение для извлечения конфиденциальных данных и проведения слежки в режиме реального времени на устройствах Android и iOS. Платформа, позиционируемая как готовый к развертыванию шпионский пакет, выходит далеко за рамки простого сбора данных и включает в себя активный мониторинг и прямую финансовую эксплуатацию.
Оператор поддерживает выделенные каналы в Telegram для продаж, поддержки клиентов и постоянных обновлений, предоставляя покупателям централизованный доступ к полнофункциональной экосистеме шпионского ПО. Эта оптимизированная модель распространения значительно снижает барьер для киберпреступников, стремящихся к расширенным возможностям слежки.
Оглавление
Широкая совместимость с устройствами и гибкие возможности развертывания
ZeroDayRAT поддерживает версии Android от 5 до 16 и iOS до 26, обеспечивая широкое покрытие устройств. Считается, что вредоносное ПО распространяется в основном посредством кампаний социальной инженерии и мошеннических магазинов приложений, предназначенных для обмана пользователей с целью установки вредоносных приложений.
Покупатели получают конструктор вредоносных программ, который генерирует специально созданные вредоносные бинарные файлы. Управление этими файлами осуществляется через онлайн-панель управления, которую операторы могут развертывать на своих собственных серверах, получая полный административный контроль над зараженными устройствами.
Комплексная аналитика устройств и отслеживание местоположения.
После установки ZeroDayRAT предоставляет операторам обширную информацию о скомпрометированном устройстве. Через самостоятельно размещенную панель управления злоумышленники могут получить доступ к подробной информации, такой как модель устройства, версия операционной системы, состояние батареи, данные SIM-карты, информация об операторе связи, использование приложений, содержимое уведомлений и предварительный просмотр последних SMS-сообщений. Эта информация позволяет злоумышленникам создавать подробные профили жертв, включая шаблоны общения и часто используемые приложения.
Платформа также фиксирует GPS-координаты в режиме реального времени и отображает их на карте Google Maps, а также ведет историю перемещений жертвы. Такое постоянное отслеживание геолокации фактически превращает зараженное устройство в инструмент непрерывного наблюдения.
Перечисление учетных записей и раскрытие учетных данных
Особенно тревожной особенностью является панель «Учетные записи», которая перечисляет все учетные записи, зарегистрированные на зараженном устройстве. Сюда входят такие широко используемые сервисы, как:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm и Spotify
Также раскрываются связанные с учетной записью имена пользователей или адреса электронной почты, что позволяет собирать учетные данные, составлять профили личности и потенциально предпринимать попытки захвата учетных записей.
Расширенная функция видеонаблюдения и обход двухфакторной аутентификации
ZeroDayRAT включает в себя ряд возможностей для скрытого наблюдения и перехвата информации. К ним относятся:
- Перехват нажатий клавиш для получения учетных данных и доступа к конфиденциальной переписке.
- Извлечение SMS-сообщений, включая одноразовые пароли (OTP), используемые для обхода двухфакторной аутентификации.
- Потоковая передача изображения с камеры в реальном времени и активация микрофона для аудиовизуального мониторинга в режиме реального времени.
Эти функции позволяют противникам вести непосредственное интерактивное наблюдение, превращая скомпрометированные устройства в удаленные средства сбора разведывательной информации.
Интегрированные модули защиты от краж криптовалюты и банковских операций.
Помимо слежки, вредоносная программа включает в себя механизмы кражи финансовых средств. Компонент для кражи криптовалюты сканирует приложения-кошельки, такие как MetaMask, Trust Wallet, Binance и Coinbase. Когда жертва копирует адрес кошелька в буфер обмена, вредоносная программа заменяет его адресом, контролируемым злоумышленником, перенаправляя транзакции без ведома пользователя.
Специальный модуль для кражи банковских данных дополнительно нацелен на цифровые платежные сервисы, включая Apple Pay, Google Pay, PayPal и PhonePe. PhonePe использует индийский Единый платежный интерфейс (UPI), протокол, разработанный для облегчения межбанковских транзакций между физическими лицами и между физическими лицами и продавцами, что делает его привлекательной целью для лиц, движимых финансовыми мотивами.
Развивающиеся угрозы мобильного шпионажа
ZeroDayRAT представляет собой полностью готовую платформу для взлома мобильных устройств, возможности которой ранее требовали ресурсов государственных структур или разработки собственных эксплойтов, и теперь доступны на коммерческой основе через Telegram. Один оператор может получить доступ через браузер к данным о местоположении жертвы, ее коммуникациям, финансовым счетам, видеопотоку с камеры, входному сигналу микрофона и нажатиям клавиш.
Вредоносное ПО соответствует более широкой тенденции в сфере мобильных угроз, использующих фишинговые кампании и проникновение в официальные магазины приложений. Злоумышленники неоднократно находили способы обойти меры защиты, внедренные Apple и Google, часто манипулируя пользователями с целью установки вредоносных приложений.
На устройствах iOS злоумышленники часто злоупотребляют механизмами корпоративного предоставления ресурсов, позволяющими организациям распространять приложения вне официального App Store. Коммерциализируя пакеты шпионского ПО, сочетающие функции слежки и финансового воровства, злоумышленники продолжают снижать технические барьеры для менее опытных киберпреступников, одновременно повышая изощренность и устойчивость атак, ориентированных на мобильные устройства.
ZeroDayRAT подчеркивает критически важную реальность: возможности продвинутого мобильного наблюдения и финансовой эксплуатации больше не ограничиваются элитными группами злоумышленников, а становятся все более доступными в киберпреступном подполье.
