На тіньових майданчиках у Telegram з’явилася нова комерційна платформа мобільного шпигунства ZeroDayRAT, про яку повідомляють дослідники iVerify. Це багатоцільовий Remote Access Trojan (RAT), здатний надавати операторам повний віддалений контроль над зараженими смартфонами Android та iOS, поєднуючи можливості шпигунського ПЗ, банківського трояна та інструмента для крадіжки криптовалюти.
ZeroDayRAT як сервіс: підтримка Android 5–16 та iOS і операторська панель
Згідно з рекламними матеріалами в Telegram, ZeroDayRAT декларує підтримку Android від версії 5 до 16 та iOS до версії 26 включно. Покупцеві пропонується повнофункціональна веб-панель керування, де відображаються модель пристрою, версія ОС, рівень заряду, дані SIM-картки, країна, а також поточний статус підключення.
Подібні «панелі оператора» давно стали стандартом для мобільних RAT: кіберзлочинець отримує єдиний дашборд, з якого може відстежувати всі скомпрометовані пристрої, запускати модулі шпигунства, виконувати команди та масштабувати атаки буквально в декілька кліків.
Модулі стеження: цифровий профіль користувача та трекінг переміщень
Збір активності, облікових записів та поведінкової інформації
ZeroDayRAT фіксує майже всю активність жертви на смартфоні: дії в застосунках, поведінкові патерни та часову шкалу подій, історію SMS, push-сповіщення. У панелі управління оператор бачить список зареєстрованих акаунтів із email-адресами та ID, що робить цей троян зручним інструментом для подальших атак на облікові записи.
Такі дані критично важливі для brute-force та атак типу credential stuffing, коли викрадені логіни й паролі масово перевіряються на різних сервісах: пошта, соцмережі, фінансові додатки. Галузеві звіти з кібербезпеки постійно відзначають, що повторне використання паролів залишається однією з головних причин успішних зламів.
Геолокаційне стеження та ризики для співробітників критичних організацій
За наявності доступу до GPS троян починає безперервно відстежувати координати пристрою та відображати їх на Google Maps із збереженням повної історії переміщень. Такий функціонал становить особливу загрозу для співробітників, які мають доступ до чутливої інфраструктури або конфіденційних переговорів: аналіз маршрутів дозволяє зловмисникам опосередковано відновити структуру бізнесу, розклад зустрічей керівництва та логістику.
Віддалений доступ до камери, мікрофона та екрана
ZeroDayRAT підтримує активні операції спостереження: у фоні може вмикати фронтальну й основну камеру, активувати мікрофон, передавати звук і відео в режимі реального часу. Додатково реалізована запис екрана, що дозволяє перехоплювати вміст додатків, одноразові коди, внутрішні корпоративні чати та іншу інформацію, яка не потрапляє до логів або буфера обміну.
Фінансова мотивація: банківський модуль і крадіжка криптовалюти
Перехоплення SMS‑OTP і кейлоггер для доступу до акаунтів
Маючи дозвіл на читання SMS, ZeroDayRAT перехоплює одноразові паролі (OTP), які використовуються банками, фінтех‑сервісами та месенджерами для підтвердження операцій і входу до акаунтів. Це дає можливість обійти SMS‑базовану двофакторну автентифікацію та виконувати транзакції від імені жертви.
Вбудований кейлоггер реєструє весь користувацький ввід: паролі, PIN‑коди, графічні ключі, жести розблокування. Таким чином атакувальники можуть не лише отримати доступ до окремих застосунків, а й розблокувати сам пристрій, що істотно ускладнює інцидент‑реагування й цифрову форензику.
Атаки на криптогаманці та платіжні сервіси через оверлеї
Окремий модуль ZeroDayRAT націлений на власників криптоактивів. Троян сканує пристрій на наявність популярних криптогаманців, зокрема MetaMask, Trust Wallet, Binance, Coinbase тощо, намагаючись отримати дані про гаманці та баланси. Додатково застосовується класична clipboard‑атака: коли користувач копіює адресу гаманця, шкідливе ПЗ підміняє її на адресу нападників.
Банківський компонент орієнтований на мобільний банкінг, UPI‑платформи на кшталт Google Pay, PhonePe, а також Apple Pay та PayPal. Використовується механізм фішингових оверлеїв: поверх справжнього додатка відображається підроблене вікно, зовні ідентичне оригіналу. Усі введені логіни, паролі, PIN‑коди й реквізити карток миттєво відправляються операторам трояна.
Наслідки для бізнесу та приватних користувачів
Хоча точні схеми розповсюдження ZeroDayRAT дослідники поки не розголошують, його функціональність свідчить про повноцінний набір інструментів для компрометації мобільних пристроїв. У корпоративному середовищі це може означати витік службової переписки, конфіденційних документів, даних VPN‑доступу, секретів із менеджерів паролів та застосунків MFA, а також несанкціонований доступ до внутрішніх порталів і хмарних сервісів.
Для звичайних користувачів ризики не менш значні: повна втрата приватності через прослуховування, приховану зйомку та трекінг пересування, прямі фінансові збитки внаслідок крадіжки банківських даних і криптовалюти, викрадення акаунтів у соціальних мережах і месенджерах. Захоплені облікові записи часто використовуються для подальших атак на контактів жертви — від таргетованого фішингу до соціальної інженерії.
Як захиститися від ZeroDayRAT та інших мобільних троянів
1. Встановлювати застосунки лише з офіційних магазинів. Варто уникати сторонніх маркетів, піратських APK, «зламаних» версій програм і посилань на інсталяцію з месенджерів, включно з Telegram. Багато мобільних кампаній розповсюдження малварі починаються саме зі шкідливих інсталяторів.
2. Контролювати права доступу застосунків. Необхідно регулярно переглядати дозволи на використання камери, мікрофона, SMS, геолокації та сервісів спеціальних можливостей. Будь‑який невідомий додаток із надмірними правами має стати приводом для негайного видалення й перевірки пристрою.
3. Оновлювати ОС і програмне забезпечення. Своєчасні оновлення закривають уразливості, які можуть використовуватися для прихованого встановлення троянів і підвищення їхніх привілеїв без участі користувача.
4. Використовувати надійну багатофакторну автентифікацію. Рекомендовано відмовлятися від SMS‑кодів на користь застосунків‑автентифікаторів або апаратних ключів безпеки. Це істотно знижує ефективність перехоплення OTP‑кодів мобільним шкідливим ПЗ.
5. Для бізнесу — впроваджувати Mobile Threat Defense та MDM. Рішення класу Mobile Threat Defense (MTD) та платформи MDM/UEM дають змогу централізовано застосовувати політики безпеки, виявляти рутовані чи скомпрометовані пристрої, ізолювати їх від корпоративних ресурсів і будувати «нульову довіру» до мобільних кінцевих точок.
Поява таких інструментів, як ZeroDayRAT, демонструє, що смартфон остаточно перетворився на головну ціль зловмисників, а не лише на допоміжний канал атаки. Користувачам і організаціям варто переглянути підходи до мобільної безпеки вже зараз: мінімізувати сторонні інсталяції, посилити автентифікацію, запровадити контроль над пристроями співробітників і навчання з кібергігієни. Чим раніше будуть прийняті ці заходи, тим нижчою залишатиметься ймовірність того, що черговий мобільний RAT перетворить особистий чи робочий смартфон на інструмент тотального стеження й крадіжки коштів.
