ZeroDayRATと呼ばれる新たな商用モバイルスパイウェア・プラットフォームが、侵害されたAndroidおよびiOSデバイスを完全に遠隔操作できるツールとして、Telegram上でサイバー犯罪者に向けて宣伝されている。
このマルウェアは、感染デバイスを管理するためのフル機能のパネルを購入者に提供し、Android 5〜16および最新のiOS 26までをサポートしていると報告されている。
モバイル脅威ハンティング企業iVerifyの研究者によれば、ZeroDayRATはデータを盗むだけでなく、リアルタイム監視や金銭窃取も可能にするという。
ダッシュボードには侵害されたデバイスが表示され、モデル、OSバージョン、バッテリー状態、SIMの詳細、国、ロック状態といった情報が示される。
出典: iVerify
このマルウェアはアプリ使用状況、アクティビティのタイムライン、SMSメッセージのやり取りを記録でき、オペレーターに概要を提供する。
ダッシュボードの他の追跡タブでは、受信したすべての通知や、感染デバイスに登録されているアカウント(メール/ユーザーID)も表示され、総当たり攻撃やクレデンシャルスタッフィングを可能にする恐れがある。
GPSへのアクセスが確保されれば、マルウェアは被害者をリアルタイムで追跡し、Googleマップ表示上に現在位置を描画できるほか、完全な位置履歴も取得できる。
出典: iVerify
受動的なデータ記録に加え、ZeroDayRATは能動的なハンズオン操作にも対応しており、デバイスのカメラ(前面・背面)やマイクを有効化してライブのメディアフィードにアクセスしたり、被害者の画面を録画して別の秘密を暴いたりできる。
出典: iVerify
さらに、SMSアクセス権限が確保されれば、このマルウェアは受信したワンタイムパスワード(OTP)を取得して2FAを回避できるほか、被害者のデバイスからSMSを送信することも可能になる。
マルウェア開発者は、パスワード、ジェスチャー、画面ロック解除パターンなどのユーザー入力を取得できるキーロギングモジュールも組み込んでいる。
暗号資産スティーラーモジュールにより、さらなる金銭窃取も可能になる。研究者は、このコンポーネントがMetaMask、Trust Wallet、Binance、Coinbaseを探すウォレットアプリスキャナーを起動し、ウォレットIDと残高を記録し、クリップボードのアドレス注入を試みて、コピーされたウォレットアドレスを攻撃者が管理するものに置き換えることを確認した。
バンクスティーラーは、オンラインバンキングアプリ、Google PayやPhonePeなどのUPIプラットフォーム、Apple PayやPayPalといった決済サービスを標的にする。認証情報の窃取は偽の画面を重ねて行われる。
出典: iVerify
iVerifyはマルウェアの配布方法については詳述していないが、ZeroDayRATは「完全なモバイル侵害ツールキット」だとしている。研究者は、従業員デバイスが侵害されると企業の侵害につながり得ると警告している。
個人にとっても、ZeroDayRATに侵害されればプライバシーが露呈し、金銭的損失につながる可能性がある。
ユーザーには、AndroidではGoogle Play、iOSではApple Storeといった公式アプリストアのみを信頼し、信頼できる提供元のアプリをインストールすることが推奨される。高リスクのユーザーは、iOSのロックダウンモードとAndroidの高度な保護の有効化を検討すべきだ。
