Мобільне шпигунське програмне забезпечення ZeroDayRAT
Дослідники з кібербезпеки виявили складну платформу мобільних шпигунських програм під назвою ZeroDayRAT, яка зараз рекламується в Telegram як комплексне рішення для вилучення конфіденційних даних та проведення спостереження в режимі реального часу на пристроях Android та iOS. Платформа, що рекламується як готовий до розгортання шпигунський пакет, виходить далеко за рамки базового збору даних і займається активним моніторингом та прямою фінансовою експлуатацією.
Оператор підтримує спеціальні канали Telegram для продажів, підтримки клієнтів та постійних оновлень, надаючи покупцям централізований доступ до повнофункціональної екосистеми шпигунського програмного забезпечення. Ця спрощена модель розповсюдження значно знижує бар'єр входу для кіберзлочинців, які шукають розширені можливості спостереження.
Зміст
Широка сумісність пристроїв та гнучке розгортання
ZeroDayRAT підтримує Android версій від 5 до 16 та iOS версій до 26, що забезпечує широке покриття пристроїв. Вважається, що шкідливе програмне забезпечення поширюється переважно через кампанії соціальної інженерії та шахрайські торговельні майданчики додатків, призначені для того, щоб обманом змусити користувачів встановлювати шкідливі програми.
Покупці отримують конструктор шкідливого програмного забезпечення, який генерує налаштовані шкідливі бінарні файли. Ці бінарні файли керуються через онлайн-панель керування, яку оператори можуть розгортати на власних серверах, надаючи їм повний адміністративний контроль над зараженими пристроями.
Комплексний аналіз пристроїв та відстеження місцезнаходження
Після встановлення ZeroDayRAT надає операторам розширений доступ до скомпрометованого пристрою. Через власну панель керування зловмисники можуть отримати доступ до детальної інформації, такої як модель пристрою, версія операційної системи, стан батареї, дані SIM-картки, інформація про оператора, використання програм, вміст сповіщень та попередній перегляд останніх SMS-повідомлень. Ця інформація дозволяє зловмисникам створювати детальні профілі жертв, включаючи схеми спілкування та часто використовувані програми.
Платформа також фіксує GPS-координати в реальному часі та відображає їх на карті за допомогою Google Maps, а також веде журнал переміщень жертви. Таке постійне відстеження геолокації ефективно перетворює заражений пристрій на інструмент безперервного спостереження.
Перерахування облікових записів та доступ до облікових даних
Особливо тривожною є панель «Облікові записи», яка містить список усіх облікових записів, зареєстрованих на зараженому пристрої. Це включає такі широко використовувані служби, як:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm та Spotify
Також розкриваються пов’язані імена користувачів або адреси електронної пошти, що дозволяє збирати облікові дані, створювати профілювання особистих даних та потенційно намагатися захопити обліковий запис.
Розширений відеоспостереження та обхід двофакторної автентифікації
ZeroDayRAT включає низку можливостей інтрузивного спостереження та перехоплення. До них належать:
- Реєстрація натискань клавіш для збору облікових даних та приватних повідомлень
- Вилучення SMS-повідомлень, включаючи одноразові паролі (OTP), що використовуються для обходу двофакторної автентифікації
- Трансляція з камери в режимі реального часу та активація мікрофона для аудіовізуального моніторингу в реальному часі
Ці функції дозволяють зловмисникам проводити практичне інтерактивне спостереження, перетворюючи скомпрометовані пристрої на засоби дистанційного збору розвідувальних даних.
Інтегровані модулі криптовалюти та крадіжки банківських даних
Окрім спостереження, шкідливе програмне забезпечення інтегрує механізми фінансової крадіжки. Компонент-викрадач криптовалют сканує такі програми-гаманці, як MetaMask, Trust Wallet, Binance та Coinbase. Коли жертва копіює адресу гаманця в буфер обміну, шкідливе програмне забезпечення замінює її адресою, контрольованою зловмисником, перенаправляючи транзакції без відома користувача.
Спеціальний модуль банківського крадіжки додатково націлений на цифрові платіжні сервіси, включаючи Apple Pay, Google Pay, PayPal та PhonePe. PhonePe використовує індійський єдиний платіжний інтерфейс (UPI) – протокол, розроблений для спрощення міжбанківських транзакцій між користувачами та між особою та продавцем, що робить його привабливою мішенню для фінансово мотивованих суб'єктів.
Еволюція загроз мобільного шпигунства
ZeroDayRAT являє собою повноцінну систему для компрометації мобільних пристроїв. Можливості, які раніше вимагали ресурсів національних держав або розробки власних експлойтів, тепер комерційно доступні через Telegram. Один оператор може отримати доступ через браузер до даних про місцезнаходження жертви, зв'язку, фінансових рахунків, зображення з камери, введення з мікрофона та натискань клавіш.
Це шкідливе програмне забезпечення відповідає ширшій тенденції мобільних загроз, що використовують фішингові кампанії та проникнення на офіційні торговельні майданчики додатків. Зловмисники неодноразово визначали методи обходу захисних заходів, впроваджених Apple та Google, часто маніпулюючи користувачами, змушуючи їх встановлювати шкідливі програми.
На пристроях iOS кампанії часто зловживають механізмами корпоративного забезпечення, які дозволяють організаціям розповсюджувати програми поза офіційним App Store. Комерціалізуючи пакети шпигунського програмного забезпечення, що поєднують функції спостереження та фінансової крадіжки, зловмисники продовжують зменшувати технічні бар'єри для менш досвідчених кіберзлочинців, одночасно посилюючи витонченість та стійкість атак, орієнтованих на мобільні пристрої.
ZeroDayRAT підкреслює критичну реальність: передові можливості мобільного спостереження та фінансової експлуатації більше не обмежуються елітними групами загроз, а стають дедалі доступнішими в підпіллі кіберзлочинності.
