ZeroDayRAT 行動間諜軟體
網路安全研究人員發現了一個名為 ZeroDayRAT 的複雜行動間諜軟體平台,該平台目前在 Telegram 上被宣傳為一款能夠提取敏感資料並對 Android 和 iOS 裝置進行即時監控的綜合解決方案。該平台被宣傳為一套即用型間諜套件,其功能遠不止於基本的數據收集,還包括主動監控和直接的財務剝削。
該運營商維護專門的 Telegram 頻道,用於銷售、客戶服務和持續更新,為買家提供集中訪問功能齊全的間諜軟體生態系統的途徑。這種簡化的分銷模式顯著降低了網路犯罪分子獲取高階監控功能的門檻。
目錄
廣泛的設備相容性和靈活的部署方式
ZeroDayRAT 支援 Android 5 至 16 版本以及 iOS 26 及以下版本,確保廣泛的裝置覆蓋範圍。該惡意軟體據信主要透過社交工程攻擊和欺詐性應用市場傳播,旨在誘騙用戶安裝惡意應用程式。
購買者將獲得一個惡意軟體生成器,用於生成定制的惡意二進位檔案。這些二進位檔案透過一個線上控制面板進行管理,營運商可以將其部署在自己的伺服器上,從而獲得對受感染設備的完全管理控制權。
全面的設備智慧和位置追蹤
ZeroDayRAT一旦安裝,即可為營運商提供受感染設備的全面可視性。攻擊者可透過自託管的管理面板存取詳細信息,例如設備型號、作業系統版本、電池狀態、SIM卡資料、運營商資訊、應用程式使用情況、通知內容以及最近簡訊的預覽。這些資訊使攻擊者能夠建立詳細的受害者畫像,包括通訊模式和常用應用程式。
該平台還能即時取得GPS座標,並使用Google地圖進行定位,同時也保留受害者的歷史移動軌跡記錄。這種持續的地理位置追蹤實際上將受感染的設備變成了一個持續監控工具。
帳戶枚舉和憑證洩露
尤其令人擔憂的是「帳戶」面板,它會列出受感染設備上註冊的所有帳戶。這其中包括一些常用服務,例如:
- Google、WhatsApp、Instagram、Facebook、電報
- 亞馬遜、Flipkart、PhonePe、Paytm 和 Spotify
關聯的使用者名稱或電子郵件地址也會被揭露,導致憑證竊取、身分分析和潛在的帳戶接管嘗試。
進階監控和雙因素認證繞過
ZeroDayRAT 整合了一系列侵入式監視和攔截功能,其中包括:
- 鍵盤記錄用於捕獲憑證和私人通信
- 提取短信,包括用於雙重身份驗證的一次性密碼 (OTP) 以繞過
- 即時攝影機串流傳輸和麥克風激活,用於即時音訊視訊監控
這些功能使敵方能夠進行實際操作、互動式監視,將受損設備變成遠端情報收集工具。
整合加密貨幣和銀行竊盜模組
除了監視功能外,該惡意軟體還整合了金融盜竊機制。其加密貨幣竊取元件會掃描 MetaMask、Trust Wallet、Binance 和 Coinbase 等錢包應用程式。當受害者將錢包位址複製到剪貼簿時,該惡意軟體會將其替換為攻擊者控制的位址,從而在用戶不知情的情況下重定向交易。
專門的銀行竊取模組還會攻擊包括 Apple Pay、Google Pay、PayPal 和 PhonePe 在內的數位支付服務。 PhonePe 利用了印度的統一支付介面 (UPI),該協議旨在促進銀行間點對點和個人對商家的交易,因此使其成為以經濟利益為目的的犯罪分子的理想目標。
不斷演變的行動間諜威脅
ZeroDayRAT 是一款功能齊全的行動入侵框架,其功能以前需要國家級資源或自訂漏洞利用程式才能實現,現在可以透過 Telegram 輕鬆取得。單一攻擊者即可透過瀏覽器存取受害者的位置資料、通訊記錄、金融帳戶、攝影機畫面、麥克風輸入和鍵盤輸入。
該惡意軟體符合行動威脅領域的一個更廣泛趨勢,即利用網路釣魚活動和滲透官方應用市場。攻擊者已多次找到繞過蘋果和谷歌安全防護措施的方法,通常誘騙用戶安裝惡意應用程式。
在 iOS 裝置上,網路攻擊活動經常濫用企業級部署機制,讓企業在官方 App Store 之外分發應用程式。透過將間諜軟體捆綁包商業化,這些捆綁包融合了監視和金融盜竊功能,威脅行為者不斷降低經驗不足的網路犯罪分子的技術門檻,同時加劇了針對行動裝置的攻擊的複雜性和持久性。
ZeroDayRAT 凸顯了一個關鍵現實:先進的行動監控和金融剝削能力不再局限於精英威脅組織,而是越來越多地被網路犯罪地下組織所掌握。
