研究者らは、公開されているこのスパイウェアがモバイルOSの広範なバージョンにわたって監視、認証情報の盗難、金銭的ターゲティングを可能にしていると述べた。
Telegramを通じて公然と販売されている新しいクロスプラットフォームスパイウェアが、モバイルデバイスへのリモートアクセスを求めるハッカーの障壁を低くしている。
開発者によって「ZeroDayRAT」と呼ばれるこのツールキットは、Telegramチャネルを通じて展開可能なリモートアクセスソリューションとして販売されている。iVerify研究者は、その最初のアクティビティを2月2日にさかのぼり、スパイウェアはAndroid向けAPKおよびiOS向けペイロードとして配布されていると追跡した。
「開発者は販売、カスタマーサポート、定期的な更新用の専用チャネルを運営しており、購入者に完全に機能するスパイウェアパネルへのアクセスの単一ポイントを提供している」と研究者らはブログ投稿で述べた。「技術的な専門知識は必要ない。このプラットフォームは典型的なデータ収集を超えて、リアルタイム監視と直接的な金銭盗難に対応している。」
かつて国家統治者のオペレーターのために予約されていた能力は、現在Telegram上で単純にパッケージ化、文書化、およびカスタマーサポート付きで販売されていると、彼らは述べた。
広範な監視と認証情報の盗難
ZeroDayRATは、単純な情報窃盗マルウェアではなく、モバイル監視およびデータ流出プラットフォームとして設計されている。iVerifyによると、マルウェアは感染したデバイスから、メッセージ、通話ログ、連絡先、位置情報、写真、ファイルを含む広範な機密データを収集できる。また、通知およびデバイスメタデータを収集することもでき、オペレーターにユーザーアクティビティと導入されているアプリケーションの両方を可視化できる。
「通知は個別に取得される:アプリ名、タイトル、コンテンツ、タイムスタンプ」と研究者らは述べた。「WhatsAppメッセージ、Instagramの通知、不在着信、Telegramアップデート、YouTubeアラート、システムイベント。単一のアプリを開くことなく、攻撃者は電話で発生しているほぼすべてのことに対してパッシブな可視性を持っている。」
プラットフォームの「アカウント」パネルは、感染したデバイスに登録されているすべてのアカウント(関連するユーザー名またはメールアドレス)を列挙するため、特に懸念事項として強調されている。これには、Google、WhatsApp、Instagram、Facebook、Telegram、Amazon、Flipkart、PhonePe、Paytm、Spotifyなどのサービスが含まれる。研究者らは、被害者のデジタルフットプリントのこの統合ビューが、攻撃者にアカウント乗っ取りの試みまたは高度にターゲットされたソーシャルエンジニアリング攻撃を実行するための十分な情報を提供する可能性があると警告した。
データ流出は集中化されたコマンドインフラストラクチャを通じて管理され、オペレーターは複数の被害者を監視し、必要に応じて情報を取得できる。iVerifyは、ツールキットはウェブベースの管理パネル、ドキュメント、およびアップデートでパッケージ化されており、一回限りのキャンペーンではなく繰り返し使用を意図した商用化されたオファリングであることを指摘した。
Android 5からAndroid 16およびiOS 26までのサポート対象オペレーティングシステムバージョンの範囲は、消費者およびエンタープライズデバイスにわたるツールキットの潜在的なリーチをさらに増加させる。
エクスプロイトではなく欺瞞への依存
名前にもかかわらず、ZeroDayRATはデバイスに感染するために未公開のオペレーティングシステムの脆弱性に依存していない。代わりに、主な感染ベクトルはソーシャルエンジニアリングである。被害者は、SMS、メール、またはメッセージングプラットフォームを介して共有されたリンクを通じて配信されることが多い、正規のソフトウェアに偽装した悪意のあるアプリケーションまたは設定プロファイルをインストールするよう説得される。
研究者らは感染チェーンについて詳しく述べなかったが、Androidでは、これは通常、公式のPlay Storeの外でアプリをサイドロードすることを伴い、時には広範なアクセス許可を付与するプロンプトが伴う。iOSでは、インストールはエンタープライズプロビジョニングメカニズムまたはユーザーが承認したプロファイルに依存し、悪意のあるアプリがApp Storeレビュープロセスの外で実行できるようにすることがある。
感染がゼロクリックエクスプロイトではなくユーザーインタラクションに依存しているため、不正なアプリのインストールを防止することはそのような脅威に対する重要な対策のままである。「ZeroDayRATのような脅威を検出するには、従来のデバイス管理を超えたモバイルEDRが必要である」と研究者らは述べ、iVerifyはBYODおよび管理対象フリートに対する侵害を識別するのに役立つ検出、フォレンジクス、および自動応答ソリューションを備えていると主張した。
