На теневых площадках в Telegram появилась новая коммерческая платформа для мобильного шпионажа ZeroDayRAT. По данным исследователей iVerify, это многофункциональное вредоносное ПО предоставляет операторам полный удаленный контроль над зараженными устройствами на базе Android и iOS, совмещая функции шпиона, банковского трояна и инструмента кражи криптовалюты.
ZeroDayRAT: новая платформа мобильного шпионажа для Android и iOS
Согласно рекламным объявлениям в Telegram, ZeroDayRAT заявляет поддержку Android версий с 5 по 16 и iOS до версии 26 включительно. Покупателям предлагается полноценная панель управления, через которую можно отслеживать и администрировать зараженные устройства: отображается модель смартфона, версия ОС, уровень заряда батареи, данные SIM-карты, страна и текущий статус подключения.
Такие «панели оператора» стали стандартом для современных мобильных RAT (Remote Access Trojan): злоумышленник получает единый дашборд, где в удобном интерфейсе видит все скомпрометированные устройства и может выполнять команды буквально в несколько кликов.
Функциональность ZeroDayRAT: тотальный контроль над смартфоном
Модуль слежки и сбора пользовательских данных
ZeroDayRAT фиксирует практически всю активность жертвы на устройстве. Вредонос отслеживает действия в приложениях, строит поведенческий профиль и временную шкалу активности, анализирует историю SMS и формирует сводку для оператора. В панели отображаются все полученные уведомления, а также список зарегистрированных на устройстве аккаунтов с email-адресами и ID.
Эти данные могут использоваться для брутфорса и атак типа credential stuffing, когда злоумышленник автоматизированно проверяет украденные учетные данные на множестве других сервисов (почта, соцсети, финтех-приложения). Исследования отраслевых вендоров безопасности показывают, что повторное использование паролей по-прежнему остается одной из ключевых причин успешных взломов.
Геолокация и мониторинг передвижений
Если ZeroDayRAT получает доступ к модулю GPS, он начинает непрерывно отслеживать местоположение жертвы. Координаты устройства отображаются на карте Google Maps, при этом сохраняется полная история перемещений. Такой сценарий особенно опасен для сотрудников, имеющих доступ к чувствительной инфраструктуре или конфиденциальным переговорам — по траектории и частоте перемещений можно восстановить структуру бизнеса и привычки ключевых лиц.
Дистанционный доступ к камере, микрофону и экрану
ZeroDayRAT поддерживает активные операции по наблюдению: малварь может в фоновом режиме включать фронтальную и основную камеры, активировать микрофон и транслировать звук и видео в режиме реального времени. Дополнительно реализована функция записи экрана, позволяющая злоумышленникам перехватывать конфиденциальную информацию, вводимую в приложениях, даже если она не сохраняется в логах или буфере обмена.
Модули для кражи банковских данных и криптовалюты
Перехват SMS и одноразовых паролей (OTP)
Получив доступ к SMS, ZeroDayRAT перехватывает входящие одноразовые коды (OTP), используемые банками, финтех-сервисами и мессенджерами для подтверждения операций и входа в аккаунт. Это дает злоумышленникам возможность обходить двухфакторную аутентификацию (2FA), основанную на SMS, а также рассылать сообщения от имени жертвы, маскируя мошенническую активность под легитимную.
Кейлоггер и кража учетных данных
В составе ZeroDayRAT присутствует кейлоггер, фиксирующий весь пользовательский ввод: пароли, PIN-коды, жесты разблокировки, графические ключи. Такой подход позволяет атакующим не только получить доступ к конкретным приложениям, но и разблокировать само устройство, что значительно усложняет инцидент-реагирование и форензику.
Модуль кражи криптовалюты
Отдельный компонент ZeroDayRAT нацелен на владельцев криптоактивов. Вредонос сканирует устройство на наличие популярных криптокошельков — MetaMask, Trust Wallet, Binance, Coinbase и других. Обнаружив такие приложения, он пытается похитить идентификаторы кошельков и информацию о балансах, а также реализует атаку замены адреса в буфере обмена: когда пользователь копирует адрес своего кошелька, малварь подменяет его на адрес, контролируемый злоумышленниками.
Банковский модуль и поддельные оверлеи
Банковский компонент ZeroDayRAT ориентирован на приложения онлайн-банкинга, UPI-платформы вроде Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Для кражи учетных данных используется механизм оверлеев: поверх настоящего банковского приложения накладывается поддельное окно, визуально неотличимое от оригинала. Пользователь вводит логин, пароль, PIN или данные карты, а информация в реальном времени отправляется оператору малвари.
Чем опасен ZeroDayRAT для бизнеса и частных пользователей
Исследователи не раскрывают детали распространения ZeroDayRAT, однако подчеркивают, что это полноценный набор инструментов для компрометации мобильных устройств. Для организаций заражение смартфона сотрудника может привести к утечке корпоративной переписки, конфиденциальных документов, данных VPN-доступа и секретов из менеджеров паролей и приложений MFA.
Для рядовых пользователей риски не менее значимы: тотальная потеря приватности (прослушка, скрытая съемка, трекинг передвижений), прямая финансовая потеря через кражу банковских данных и криптовалюты, угон аккаунтов в соцсетях и мессенджерах. Подобные инциденты часто приводят к последующим атакам на контакты жертвы — от фишинга до социального инжиниринга.
Как защититься от ZeroDayRAT и подобных мобильных троянов
Поскольку ZeroDayRAT нацелен на широкий спектр версий Android и iOS, критически важно минимизировать поверхность атаки. Рекомендуется:
1. Установка приложений только из официальных источников. Избегать сторонних магазинов, пиратских APK, «взломанных» версий софта и ссылок на установку из мессенджеров, включая Telegram.
2. Контроль прав доступа. Внимательно проверять разрешения для приложений (камера, микрофон, SMS, доступ к экрану и настройкам специальных возможностей). Любое неизвестное приложение с широкими правами должно вызывать подозрение.
3. Регулярные обновления ОС и приложений. Патчи закрывают уязвимости, которые могут использоваться для незаметной установки и эскалации привилегий малвари.
4. Использование надежной многофакторной аутентификации. По возможности переходить с SMS-кодов на приложения-аутентификаторы или аппаратные ключи. Это снижает эффективность перехвата OTP.
5. Внедрение решений Mobile Threat Defense (MTD). Для бизнеса имеет смысл использовать специализированные системы защиты мобильных устройств и MDM-платформы, которые позволяют централизованно управлять политиками безопасности, выявлять рутованные и скомпрометированные устройства и блокировать доступ к корпоративным ресурсам.
Рост функциональности таких инструментов, как ZeroDayRAT, ясно демонстрирует: смартфон уже давно стал основной целью злоумышленников, а не только вспомогательным каналом атаки. Усиление мобильной кибербезопасности — необходимость как для компаний, так и для частных пользователей. Чем раньше будут приняты меры по защите устройств, тем ниже вероятность, что подобный шпионский набор превратит личный или рабочий телефон в инструмент скрытого наблюдения и кражи денег.
