TokyoBlackHatNews

securityweek.com 4分で読了

新たな「ZeroDayRAT」スパイウェアキット、iOS・Android端末の完全侵害を可能に

ZeroDayRATは新しい商用モバイルスパイウェアツールキットで、AndroidおよびiOS端末への完全なリモートアクセスを可能にし、ライブカメラ映像、キーロギング、銀行・暗号資産の窃取などの機能を備えています。

現在はTelegram経由で入手可能で、2026年2月2日に初めて観測され、その後iVerifyによって分析されました。これは「完全なモバイル侵害ツールキット」であり、通常は国家レベルのリソースがなければ開発できないようなキットに匹敵します。

感染には悪意あるバイナリの配布が必要です。「これらのキットは通常、購入者にセルフホスト型のパネルとビルダーを提供します」とiVerifyのリサーチフェローであるDaniel Kelleyは説明します。「オペレーターは自分のサーバーを立ち上げ、パネルを設定し、ビルダーを使って自分たちのインフラに“ホーム”するペイロードを生成します」

さらに彼は続けます。「配布は攻撃者次第です。フィッシングリンク、スミッシング、サードパーティストアのトロイの木馬化されたアプリ、ソーシャルエンジニアリング……何でも有効な手段を使います。サイドバーに『exploit』タブがあるので、何らかのエクスプロイト機能が付属している可能性はありますが、確認はできていません」

ターゲットにインストールされると、被害者および端末のプロファイリング(機種、OS、バッテリー、国、ロック状態、SIMおよびキャリア情報、デュアルSIMの電話番号、時間別に分解されたアプリ使用状況、ライブアクティビティのタイムライン、最近のSMSメッセージのプレビューなど)が可能になります。

位置追跡も利用可能です。GPS座標が取得され、位置履歴(被害者がいる場所、および被害者がいた場所)とともに埋め込みのGoogleマップ上にプロットされます。

アプリ使用状況も、名称と内容を含めて提供されます。WhatsAppメッセージ、Instagram通知、不在着信、Telegram更新、YouTubeアラート、システムイベント……。さらに、登録済みアカウントの詳細へと掘り下げ、Google、WhatsApp、Instagram、Facebook、Telegram、Amazon(ほか多数)のユーザー名とメールアドレスを提供します。これは、完全で出来合いのソーシャルエンジニアリング用ターゲット情報源です。

これらはすべて被害者端末からの受動的な収集ですが、このキットはライブ監視も提供し、ライブカメラ配信(前面または背面)、画面録画、マイク音声の取得が可能です。「GPS追跡と組み合わせることで、オペレーターはターゲットを同時に見て、聞いて、位置特定できます」とiVerifyは記しています。

モバイルキーロガー、暗号資産の窃取

キーロガーはあらゆる入力を捕捉します。生体認証によるロック解除、ジェスチャー、キーストローク、アプリ起動。攻撃者は、被害者が何をしているか、そして何が入力されているかを同時に把握できます。

機能には銀行・暗号資産の窃取も含まれます。利用可能なIoCは、あったとしてもごくわずかです。スマホのバッテリー持ちが短くなるのは兆候ですが、証拠ではありません。金銭的な被害はおそらく最も目に見える兆候です。 

「暗号資産スティーラーはクリップボード注入を継続的に実行するため、被害者が資金を送ろうとするたびに窃取が発生します。被害者が心当たりのないアドレスへの説明不能な送金は危険信号です」とKelleyは説明します。 

「銀行スティーラーは送金を直接開始するのではなく、認証情報を狙います。無許可のログインが発生するでしょう。しかし、それが金融記録に現れる頃には、被害はすでに出ています」

多くのRATでは、存在が発見されるとマルウェアのワイプが引き起こされることがよくあります。ZeroDayRATでこれが可能かどうかは、まだ明らかではありません。Kelleyは「リモートワイプは商用RATではかなり標準的です。これほど多機能なものに搭載されていないのは不自然でしょう。可能性はあるが未確認、と言えます」と述べています。

テイクダウンの課題

iVerifyはZeroDayRATを、簡単にはなくならない問題だと説明しています。第一に、作成者(逮捕の可能性がある対象)を特定するのはほぼ不可能です。このツールキットは5言語(ポルトガル語、ロシア語、中国語、スペイン語、英語)で宣伝されています。 

「彼らが中国語でメッセージを投稿し、ロシアのドメインを使い、インドの被害者を狙っているのを見てきました」とKelleyは言います。「何も整合しておらず、それは意図的に見えます。帰属を曖昧にするために、積極的に偽情報を使っていると考えています」

同様に、当局が特定してテイクダウンできる中央サーバーは存在しません。「各オペレーターがそれぞれ自分のインスタンスを運用しているため、個別のインフラに対してモグラ叩きをしているようなものです。Telegramの販売チャネルが最も目立つボトルネックですが、Telegramのテイクダウンは遅く、仮に実施されても開発者は新しいチャネルを立ち上げるだけです」

これは、しばらくの間私たちを悩ませる可能性のある、憂慮すべき新しいスパイウェアRATです。

関連: Apple、「ロックダウンモード」を追加し .Gov 傭兵スパイウェアを阻止

翻訳元: https://www.securityweek.com/new-zerodayrat-spyware-kit-enables-total-compromise-of-ios-android-devices/

ソース: securityweek.com
#Android #iOS #RAT(リモートアクセス型トロイの木馬) #Telegram #ZeroDayRAT #キーロガー #フィッシング/スミッシング #モバイルスパイウェア #ライブ監視(カメラ・マイク・画面録画) #暗号資産(クリプト)窃取

関連記事

SonicWallが緊急のファイアウォール脆弱性パッチを強く要求

サプライチェーン攻撃の標的にされたSAP NPMパッケージ

Gemini CLIの重大な欠陥がホストコード実行とサプライチェーン攻撃を可能に