Компания iVerify обнаружила коммерческую шпионскую платформу ZeroDayRAT.
Вредоносный набор дает злоумышленникам удаленный доступ к смартфонам на iOS и Android, включая последние версии обеих систем.
Инструмент впервые заметили 2 февраля в Telegram. Неизвестный разработчик предлагает его как готовый сервис с техподдержкой и обновлениями.
Такой уровень сложности раньше требовал ресурсов государственного масштаба, теперь же купить платформу может любой желающий.
Атакующий получает панель управления и генератор вредоносных приложений. Методы доставки он выбирает сам. Чаще всего это SMS-фишинг: жертве приходит сообщение со ссылкой на загрузку приложения под видом легитимного.
Вредонос также распространяют через фишинговые письма, поддельные магазины приложений и ссылки в мессенджерах.
После установки оператор видит детальную информацию об устройстве: модель, версию ОС, состояние батареи, данные SIM-карты, список приложений и последние SMS.
GPS-трекер позволяет отслеживать перемещения жертвы в реальном времени.
Система перехвата уведомлений открывает доступ к сообщениям WhatsApp, оповещениям YouTube, пропущенным вызовам и другим системным событиям.
Вкладка «Аккаунты» собирает имена пользователей и адреса электронной почты, привязанные к Google, Facebook, Amazon, Telegram и WhatsApp.
Вкладка слежки превращает телефон в жучок. Атакующий может включить фронтальную или тыловую камеру, запустить запись экрана и активировать микрофон.
Кейлоггер фиксирует каждое касание экрана, жесты, нажатия клавиш и разблокировку по биометрии.
Финансовые модули сканируют устройство в поисках кошельков MetaMask, Trust Wallet, Binance и Coinbase. Криптостилер считывает балансы и идентификаторы. Через инъекцию в буфер обмена он подменяет скопированный адрес кошелька на адрес атакующего. Банковский модуль использует оверлейные окна для кражи учетных данных Apple Pay, Google Pay и PayPal.
Перехват SMS позволяет читать одноразовые пароли и обходить двухфакторную аутентификацию. Заражение одного устройства ставит под удар все финансовые и коммуникационные сервисы владельца.
Разработчик намеренно запутывает следы. Инструмент рекламируют на пяти языках, включая русский и китайский, домены регистрируют в разных юрисдикциях. У платформы нет единого командного сервера: каждый оператор разворачивает собственную инфраструктуру.
В iVerify призвали относиться к мобильной безопасности так же серьезно, как к защите компьютеров. Пользователям рекомендуют не переходить по ссылкам из подозрительных SMS, устанавливать приложения только из официальных магазинов и включать режим Lockdown Mode на iOS либо усиленную защиту на Android.
Автор: Сергей Богдан
