Вредоносная программа ZeroDayRAT предоставляет полный доступ к устройствам на базе Android и iOS
Новая коммерческая платформа для мобильного шпионажа под названием ZeroDayRAT рекламируется в Telegram как инструмент, обеспечивающий полный удаленный контроль над взломанными устройствами на базе Android и iOS.
Вредоносная программа предоставляет покупателям полнофункциональную панель для управления зараженными устройствами. Сообщается, что она поддерживает Android с 5-й по 16-ю версию и iOS до последней версии 26.
Исследователи из компании iVerify, специализирующейся на поиске мобильных угроз, утверждают, что ZeroDayRAT не только крадет данные, но и позволяет вести наблюдение в режиме реального времени и совершать финансовые махинации.
На панели управления отображаются взломанные устройства, а также информация о модели, версии операционной системы, состоянии аккумулятора, данных SIM-карты, стране и состоянии блокировки.
Обзор информационной панели
Источник: iVerify
Вредоносное ПО может отслеживать использование приложений, время активности, обмен SMS-сообщениями и предоставлять оператору общую информацию.
На других вкладках отслеживания на панели управления отображаются все полученные уведомления, а также зарегистрированные учетные записи на зараженном устройстве с указанием адреса электронной почты/идентификатора пользователя, что потенциально может привести к брутфорсу и подбору учетных данных.
Если доступ к GPS защищен, вредоносное ПО может отслеживать местоположение жертвы в режиме реального времени и отображать ее текущее положение на Google Maps с полной историей перемещений.
Отслеживание жертвы в режиме реального времени
Источник: iVerify
Помимо пассивного сбора данных, ZeroDayRAT также поддерживает активные действия, например активацию камер (фронтальной и тыльной) и микрофона устройства для получения доступа к прямой трансляции или запись экрана жертвы для раскрытия других секретов.
Доступ к камере и микрофону
Источник: iVerify
Кроме того, если разрешение на доступ к SMS-сообщениям получено, вредоносное ПО может перехватывать входящие одноразовые пароли (OTP), что позволяет обойти двухфакторную аутентификацию, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также добавил модуль кейлоггера, который может фиксировать вводимые пользователем данные, такие как пароли, жесты или графические ключи для разблокировки экрана.
Дальнейшее хищение средств стало возможным благодаря модулю для кражи криптовалюты. Исследователи обнаружили, что этот компонент активирует сканер приложений-кошельков, который ищет MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы кошельков и их балансы, а также пытается внедрить адреса из буфера обмена, заменяя скопированные адреса кошельков на подконтрольные злоумышленнику.
Злоумышленники взламывают банковские приложения для онлайн-банкинга, платформы мгновенных платежей, такие как Google Pay и PhonePe, а также платежные сервисы, например Apple Pay и PayPal. Для кражи учетных данных они используют поддельные экраны.
Модули для кражи криптовалюты и банковских данных
Источник: iVerify
В iVerify не уточняют, как именно распространяется вредоносное ПО, но отмечают, что ZeroDayRAT — это «полноценный набор инструментов для компрометации мобильных устройств». Исследователи предупреждают, что скомпрометированное устройство сотрудника может привести к утечке данных в компании.
Для обычного пользователя компрометация ZeroDayRAT может привести к раскрытию личных данных и финансовым потерям.
Пользователям рекомендуется доверять только официальным магазинам приложений, таким как Google Play на Android и Apple Store на iOS, и устанавливать приложения от надежных разработчиков. Пользователям из группы повышенного риска следует включить режим блокировки на iOS и расширенную защиту на Android.
Редактор: AndreyEx
