ZeroDayRAT новая угроза для владельцев смартфонов

По словам исследователя Дэниела Келли из компании iVerify, создатель вредоносного ПО ведет специализированные каналы для продаж, поддержки клиентов и регулярных обновлений, предоставляя покупателям единую точку входа для полного контроля своего инструментария.

«Эта платформа выходит далеко за рамки обычной кражи данных, предлагая возможности для полноценного слежения в режиме реального времени и прямого хищения финансовых средств», — подчеркнул Келли.

Вирус способен заражать устройства под управлением версий Android от 5-й до 16-й и поддерживает операционные системы iOS вплоть до версии 26. Распространение осуществляется преимущественно методами социальной инженерии либо путем размещения поддельных приложений в магазинах программного обеспечения. Созданием зловредных бинарников занимается специальный конструктор, предоставляемый покупателю вместе с панелью администрирования, которую можно развернуть на собственном сервере.

При попадании на устройство злоумышленники получают доступ ко всей необходимой информации, включая модель телефона, местоположение, состояние батареи, детализацию сим-карты, оператора связи, историю используемых приложений, уведомления и фрагменты последних сообщений SMS. Эта информация используется для составления профиля жертвы и анализа её активности, помогая определить круг контактов и предпочитаемые приложения.

Панель администратора также способна извлекать координаты GPS и отмечать перемещения владельца на карте Google, фиксируя всю хронологию передвижений.

Отдельно выделяется вкладка «Аккаунты», в которой перечисляются все зарегистрированные на устройстве профили: Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, индийские платёжные сервисы типа PhonePe и Paytm, Spotify и прочие сервисы с указанием имени пользователя или электронной почты.

Среди прочих возможностей ZeroDayRAT выделяются:

• фиксация нажатий клавиш,
• сбор сообщений SMS, включая одноразовые коды подтверждения (OTP),
• включение удалённого видеонаблюдения через камеру смартфона и микрофон,
• перехват адресов криптовалютных кошельков для перенаправления транзакций.

Для облегчения финансовой кражи вредоносное ПО оснащено модулем, сканирующим наличие приложений цифровых кошельков (например, MetaMask, Trust Wallet, Binance, Coinbase). Оно способно заменить скопированный номер криптокошелька своим собственным, перенаправив деньги жертве мошенника.

Также имеется модуль для атак на мобильные банковские приложения, такие как Apple Pay, Google Pay, PayPal, а также популярную индийскую систему платежей UPI (Unified Payments Interface).

Таким образом, ZeroDayRAT представляет собой комплексное средство взлома мобильных устройств, ранее доступное только правительственным структурам или разработчикам специализированных эксплойтов. Теперь оно доступно для приобретения любым заинтересованным лицом через мессенджеры, предоставляя полный доступ к данным жертвы: геолокации, сообщениям, финансовым средствам, камере, микрофону и клавиатуре. Его универсальность и активное развитие делают угрозу актуальной как для частных лиц, так и организаций.

ZeroDayRAT стал ещё одной угрозой в ряду аналогичных вредоносных программ, нацеленных на мобильную аудиторию. За последние годы преступники неоднократно находили способы обхода защитных мер Apple и Google, обманывая пользователей фальшивыми приложениями или используя уязвимости официальных магазинов приложений.

Такие инструменты снижают порог входа для неквалифицированных хакеров и демонстрируют эволюционирующую сложность угроз, направленных против мобильных устройств.