Специалисты по кибербезопасности предупредили о появлении нового мобильного шпиона под названием ZeroDayRAT, рекламируемого на площадке Telegram как способ похищения конфиденциальных данных и организации реального наблюдения за устройствами на платформах Android и iOS.
По словам исследователя Дэниела Келли из компании iVerify, создатель вредоносного ПО ведет специализированные каналы для продаж, поддержки клиентов и регулярных обновлений, предоставляя покупателям единую точку входа для полного контроля своего инструментария.
«Эта платформа выходит далеко за рамки обычной кражи данных, предлагая возможности для полноценного слежения в режиме реального времени и прямого хищения финансовых средств», — подчеркнул Келли.
Вирус способен заражать устройства под управлением версий Android от 5-й до 16-й и поддерживает операционные системы iOS вплоть до версии 26. Распространение осуществляется преимущественно методами социальной инженерии либо путем размещения поддельных приложений в магазинах программного обеспечения. Созданием зловредных бинарников занимается специальный конструктор, предоставляемый покупателю вместе с панелью администрирования, которую можно развернуть на собственном сервере.
При попадании на устройство злоумышленники получают доступ ко всей необходимой информации, включая модель телефона, местоположение, состояние батареи, детализацию сим-карты, оператора связи, историю используемых приложений, уведомления и фрагменты последних сообщений SMS. Эта информация используется для составления профиля жертвы и анализа её активности, помогая определить круг контактов и предпочитаемые приложения.
Панель администратора также способна извлекать координаты GPS и отмечать перемещения владельца на карте Google, фиксируя всю хронологию передвижений.
Отдельно выделяется вкладка «Аккаунты», в которой перечисляются все зарегистрированные на устройстве профили: Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, индийские платёжные сервисы типа PhonePe и Paytm, Spotify и прочие сервисы с указанием имени пользователя или электронной почты.
Для облегчения финансовой кражи вредоносное ПО оснащено модулем, сканирующим наличие приложений цифровых кошельков (например, MetaMask, Trust Wallet, Binance, Coinbase). Оно способно заменить скопированный номер криптокошелька своим собственным, перенаправив деньги жертве мошенника.
Также имеется модуль для атак на мобильные банковские приложения, такие как Apple Pay, Google Pay, PayPal, а также популярную индийскую систему платежей UPI (Unified Payments Interface).
Таким образом, ZeroDayRAT представляет собой комплексное средство взлома мобильных устройств, ранее доступное только правительственным структурам или разработчикам специализированных эксплойтов. Теперь оно доступно для приобретения любым заинтересованным лицом через мессенджеры, предоставляя полный доступ к данным жертвы: геолокации, сообщениям, финансовым средствам, камере, микрофону и клавиатуре. Его универсальность и активное развитие делают угрозу актуальной как для частных лиц, так и организаций.
ZeroDayRAT стал ещё одной угрозой в ряду аналогичных вредоносных программ, нацеленных на мобильную аудиторию. За последние годы преступники неоднократно находили способы обхода защитных мер Apple и Google, обманывая пользователей фальшивыми приложениями или используя уязвимости официальных магазинов приложений.
Такие инструменты снижают порог входа для неквалифицированных хакеров и демонстрируют эволюционирующую сложность угроз, направленных против мобильных устройств.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Исследователи кибербезопасности сообщили о появлении нового вредоносного ПО для Android под названием Massiv, которое нацелено на захват мобильных устройств с целью кражи финансовых средств. По данным ThreatFabric, этот вирус маскируется под обычные приложения IPTV, обманывая пользователей и привлекая тех, кто ищет онлайн-телевидение.
Киберпреступная группа Silver Fox из Китая вновь продемонстрировала высокую квалификацию, обнаружив новый способ обхода защиты операционных систем семейства Windows через эксплуатацию ошибки ядра. Их новая стратегия заключается в применении ранее неизвестного подписанного цифрового сертификата, принадлежащего производителю периферийных устройств, для внедрения вредоносного компонента, известного как STProcessMonitor Driver.
Американское агентство кибербезопасности и инфраструктуры (CISA) обновило известный реестр эксплойтов (Known Exploited Vulnerabilities — KEV), добавив четыре критически важные уязвимости, отмеченные активным применением злоумышленниками.