マルウェア・アズ・ア・サービス(MaaS)の状況は、サイバー犯罪の境界線を押し広げ続けています。Cyberthint研究者によって分析された新しいモバイルスパイウェアZeroDayRATは、専門家でない人でもプロのようにスパイ活動ができるようにします。
2026年2月2日以来Telegramチャネル上で公然と販売されており、AndroidとiOSデバイスに大きなダメージをもたらします。攻撃者は単一のブラウザベースのパネルでリアルタイム監視と直接的な金銭盗取を行います。
このツールキットはデータを盗むだけでなく、被害者のデジタルおよび物理的な世界に侵入します。Cyberthintの調査では、デモ、価格設定、エスクローオプションを備えて積極的にマーケティングされており、高度なスパイ活動と金銭盗取を組み合わせています。
ZeroDayRATはTelegramでの単純な購入から始まります。攻撃者はAndroid用のAPKまたはiOS用のペイロードを入手します。最初の感染経路はスミッシング(フィッシングSMS)で、アプリ更新またはまともなストアを模倣した偽のSMSリンクです。
攻撃者はWhatsApp、Telegram、または偽のアプリストアを通じて操作的なリンクも配布します。インストール後、Android 16およびiOS 26.2との互換性を主張し、広範なリーチと継続的な更新を示唆しています。
真の力はそのスマートなコントロールパネルにあります。感染時に、オペレーターは完全な被害者プロフィールを表示します。デバイスモデル、バッテリーレベル、キャリア詳細、トップアプリ、アクティビティタイムライン、最近の通話、SMSログです。
スクリーン録画はすべての動きをキャプチャし、キーストローク、クリップボードデータ、バイオメトリクス、アプリ切り替えをミリ秒単位で記録するキーロガーと組み合わせています。Cyberthintは、攻撃者がライブカメラフィードをスクリーンキャプチャと一緒にストリーミングし、手書きのメモまで表示しているデモを発見しました。
財務モジュールはそれを危険にします。MetaMask、Trust Wallet、Binance、Coinbaseなどの暗号資産アプリをスキャンし、クリップボード挿入を使用して被害者のアドレスを攻撃者のアドレスと交換します。
Apple Pay、Google Pay、PayPal、および地域銀行への攻撃はオーバーレイを通じて行われ、SMSからのリアルタイムOTP取得も含まれます。既知のIOCにはデモからのこれらの疑わしいドメインが含まれます。
このGitHubの悪用は、多段階のリダイレクトを通じて評判フィルターを回避します。
ZeroDayRATはエリート国家ツールの響きを持ち、現在安く販売されています。日次アクセスは250ドル、週次は1,000ドル、月次は3,500ドルです。売り手はXSS Forumエスクローを使用します。これはサイバー犯罪の標準であり、正当性を示す一方、詐欺師はしばしばそれを避けます。
デモは信頼構築のトリックを通じた1クリック侵害を示しています。しかし、赤い旗が現れます。パネルスクリーンショットは「USDT Walletアドレスを作成」のようなChatGPTタブを明らかにします。静的なサンプルアドレス付きです。
このOpSecのスリップは派手な偽インターフェースを示唆していますが、エスクローは何らかの機能を示しています。Arsink RAT、Anatsaトロイの木馬、NFCShareのGhost Tapなど、POS盗難を標的とする増加するモバイル問題に参加しています。
ユーザーと企業は行動する必要があります。すべての疑わしいSMS/WhatsApp/メールリンクをスキップしてください。特に配送や請求に関する緊急のものは避けてください。
SMS 2FAを廃止し、アプリ認証器またはハードウェアキーを優先してください。モバイルEDR/MDMを展開して、標準的なAVソリューションが不十分な行動チェックとIOCスキャンを実施してください。
翻訳元: https://cyberpress.org/zerodayrat-targets-mobile-devices/