iVerifyのセキュリティアナリストは、公開されているTelegramチャンネル内でZeroDayRATと呼ばれる新興のモバイルスパイプラットフォームを発見しました。開発者は目立つほど透明性を持って活動しており、販売、カスタマーサポート、アップデート配布専用の複数のチャンネルを維持しています。このソフトウェアの利用者には、高度な技術的専門知識を必要とせずに侵害されたデバイスを包括的に支配できるターンキー管理ダッシュボードが提供されます。
このアーキテクチャは、Android バージョン5から16、およびiOSを対象に設計されており、最新のリリースとiPhoneモデルを網羅しています。感染が成功すると、攻撃者はスマートフォンのほぼすべての機能面へのリモートアクセスを獲得します。これには単なるデータ窃取だけでなく、リアルタイム監視や金融資産の不正流出も含まれます。
侵入は通常、SMSメッセージに埋め込まれた詐欺リンクを介して発生します。ユーザーはリンクをクリックして、正規のアプリケーションを装ったファイルをインストールするよう誘導されます。その他の手口には、詐欺通知メール、偽のアプリリポジトリ、インスタントメッセンジャー内の悪意あるリンクなどがあります。Androidの場合、攻撃は標準のアプリケーションパッケージを利用しますが、iOSの場合は専用の有害モジュールが使用されます。
一度インストールされると、マルウェアは詳細なテレメトリーをコントロールパネルに送信し、デバイスモデル、オペレーティングシステムのバージョン、バッテリー状態、地理的起源、ネットワークプロバイダー、SIMカード詳細、アプリケーション使用パターンを明らかにします。ダッシュボードには、金融機関やデジタルサービスからの重要な二要素認証(2FA)コードを含む最近の通信も集約されます。このデータから、被害者の身元と日常的な行動パターンの包括的なプロファイルを迅速に構築できます。
このプラットフォームはさらに地理空間データを集約して詳細な移動履歴を合成し、現在の座標と過去の位置をインタラクティブマップ上に投影します。同時に、インストールされているすべてのアプリケーションからの通知を傍受します。インスタントメッセンジャーからの通信、ソーシャルメディアアラート、不在着信、システムイベントは、ユーザーがアプリケーション自体を操作していなくても記録されます。
専用セクションには、デバイスに登録されているすべてのアカウントが列挙されます。これには電子メール、メッセージングプラットフォーム、eコマースマーケットプレイス、マルチメディアサービスが含まれます。このような情報は、アカウント乗っ取りを効率化し、精密なスピアフィッシング攻撃を促進します。
アクティブ監視機能も同様に強力です。このインターフェースにより、攻撃者はカメラを起動し、ディスプレイを記録し、マイクを介してリアルタイムで周囲の音声を録音できます。さらに、キーロギング機構はキーストローク、アプリケーションの操作、ロック解除の試行を記録します。攻撃者は画面の視覚出力とユーザーのタッチ入力を同時に観察できます。
特定のモジュールは、金融資産やデジタル資産の窃取用に調整されています。マルウェアは暗号通貨ウォレットアプリケーションをデバイス内で検索し、そのメタデータを窃取します。また、クリップボード置換技術を使用し、コピーされたウォレットアドレスを密かに攻撃者のものと置き換えます。銀行アプリケーションの場合、ソフトウェアは詐欺オーバーレイウィンドウを展開して認証情報を収集し、SMS傍受によって多要素認証を効果的に迂回します。
このようなプラットフォームの出現は、スマートフォン全体の監視ツールがもはや精巧な開発や膨大なリソースを必要としないことを意味します。これらのターンキーキットはほぼ公然と取引されており、被害者のデバイスに対する絶対的な支配権を付与します。被害者にとって、これはアカウントアクセスの喪失、私生活の暴露、直接的な金銭的破滅を意味します。セキュリティ専門家は、未承諾のリンクに対する極度の警戒、サードパーティのアプリケーションソースの回避、モバイルセキュリティ監査の定期的な実施を推奨しています。
