ZeroDayRAT 移动间谍软件
网络安全研究人员发现了一款名为 ZeroDayRAT 的复杂移动间谍软件平台,该平台目前在 Telegram 上被宣传为一款能够提取敏感数据并对 Android 和 iOS 设备进行实时监控的综合解决方案。该平台被宣传为一套即用型间谍套件,其功能远不止于基本的数据采集,还包括主动监控和直接的财务剥削。
该运营商维护着专门的 Telegram 频道,用于销售、客户服务和持续更新,为买家提供集中访问功能齐全的间谍软件生态系统的途径。这种简化的分销模式显著降低了网络犯罪分子获取高级监控功能的门槛。
目录
广泛的设备兼容性和灵活的部署方式
ZeroDayRAT 支持 Android 5 至 16 版本以及 iOS 26 及以下版本,确保广泛的设备覆盖范围。该恶意软件据信主要通过社交工程攻击和欺诈性应用市场传播,旨在诱骗用户安装恶意应用程序。
购买者将获得一个恶意软件生成器,用于生成定制的恶意二进制文件。这些二进制文件通过一个在线控制面板进行管理,运营商可以将其部署在自己的服务器上,从而获得对受感染设备的完全管理控制权。
全面的设备智能和位置跟踪
ZeroDayRAT一旦安装,即可为运营商提供对受感染设备的全面可视性。攻击者可通过自托管的管理面板访问详细信息,例如设备型号、操作系统版本、电池状态、SIM卡数据、运营商信息、应用程序使用情况、通知内容以及最近短信的预览。这些信息使攻击者能够构建详细的受害者画像,包括通信模式和常用应用程序。
该平台还能实时获取GPS坐标,并使用谷歌地图进行定位,同时还会保留受害者的历史移动轨迹记录。这种持续的地理位置追踪实际上将受感染的设备变成了一个持续监控工具。
账户枚举和凭证泄露
尤其令人担忧的是“账户”面板,它会列出受感染设备上注册的所有账户。这其中包括一些常用服务,例如:
- 谷歌、WhatsApp、Instagram、Facebook、电报
- 亚马逊、Flipkart、PhonePe、Paytm 和 Spotify
关联的用户名或电子邮件地址也会被暴露,从而导致凭证窃取、身份分析和潜在的帐户接管尝试。
高级监控和双因素认证绕过
ZeroDayRAT 集成了一系列侵入式监视和拦截功能,其中包括:
- 键盘记录用于捕获凭据和私人通信
- 提取短信,包括用于双因素身份验证的一次性密码 (OTP) 以绕过
- 实时摄像头流传输和麦克风激活,用于实时音视频监控
这些功能使敌方能够进行实际操作、交互式监视,将受损设备变成远程情报收集工具。
集成加密货币和银行盗窃模块
除了监视功能外,该恶意软件还集成了金融盗窃机制。其加密货币窃取组件会扫描 MetaMask、Trust Wallet、Binance 和 Coinbase 等钱包应用程序。当受害者将钱包地址复制到剪贴板时,该恶意软件会将其替换为攻击者控制的地址,从而在用户不知情的情况下重定向交易。
专门的银行窃取模块还会攻击包括 Apple Pay、Google Pay、PayPal 和 PhonePe 在内的数字支付服务。PhonePe 利用了印度的统一支付接口 (UPI),该协议旨在促进银行间点对点和个人对商户的交易,因此使其成为以经济利益为目的的犯罪分子的理想目标。
不断演变的移动间谍威胁
ZeroDayRAT 是一款功能齐全的移动入侵框架,其功能以前需要国家级资源或定制漏洞利用程序才能实现,现在可以通过 Telegram 轻松获取。单个攻击者即可通过浏览器访问受害者的位置数据、通信记录、金融账户、摄像头画面、麦克风输入和键盘输入。
该恶意软件符合移动威胁领域的一个更广泛趋势,即利用网络钓鱼活动和渗透官方应用市场。攻击者已多次找到绕过苹果和谷歌安全防护措施的方法,通常诱骗用户安装恶意应用程序。
在 iOS 设备上,网络攻击活动经常滥用企业级部署机制,允许企业在官方 App Store 之外分发应用程序。通过将间谍软件捆绑包商业化,这些捆绑包融合了监视和金融盗窃功能,威胁行为者不断降低经验不足的网络犯罪分子的技术门槛,同时加剧了针对移动设备的攻击的复杂性和持久性。
ZeroDayRAT 凸显了一个关键现实:先进的移动监控和金融剥削能力不再局限于精英威胁组织,而是越来越多地被网络犯罪地下组织所掌握。
