ZeroDayRATとは何か
「ZeroDayRAT」と名付けられた新たな商用モバイルスパイウェアプラットフォームが、Telegram上でサイバー犯罪者向けに宣伝されており、感染したAndroidおよびiOSデバイスへの完全なリモート制御を提供すると報じられています。
モバイル脅威ハンティング企業iVerifyの研究者によると、ZeroDayRATは単にデータを窃取するだけでなく、リアルタイムの監視と金銭的窃盗を可能にする強力なツールです。このマルウェアは、Android 5から16、およびiOSでは最新のバージョン26までをサポートしているとされており、感染したデバイスを管理するための高機能なパネルを攻撃者に提供します。
マルウェアの多様な機能
デバイス情報の収集
ZeroDayRATのダッシュボードは、感染したデバイスのモデル、オペレーティングシステムバージョン、バッテリー状態、SIM情報、国、ロック状態といった詳細な情報を表示します。これにより、攻撃者は対象デバイスの包括的な概要を把握できます。
リアルタイム監視と追跡
- アプリ利用状況とアクティビティ履歴の記録:アプリの使用状況、活動のタイムライン、SMSメッセージのやり取りを記録し、攻撃者に提供します。
- 通知の収集:受信したすべての通知を表示できます。
- アカウント情報の登録:感染デバイスに登録されたアカウント情報(メール/ユーザーID)を表示し、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃に悪用される可能性があります。
- GPS追跡:GPSアクセスが確保されている場合、被害者の現在地をリアルタイムで追跡し、Googleマップ上に表示できます。また、完全な位置情報履歴も提供します。
アクティブな操作
ZeroDayRATは、受動的なデータログだけでなく、能動的な手動操作もサポートしています。
- カメラとマイクの起動:デバイスの前面および背面カメラ、マイクを起動し、ライブメディアフィードにアクセスしたり、記録したりできます。
- 画面記録:被害者の画面を記録し、機密情報を暴くことが可能です。
- SMS操作:SMSアクセス許可が確保されている場合、着信したワンタイムパスワード(OTP)を傍受し、2段階認証をバイパスできます。また、被害者のデバイスからSMSを送信することも可能です。
- キーロギング:パスワード、ジェスチャー、画面ロック解除パターンなどのユーザー入力をすべて捕捉するキーロギングモジュールも搭載されています。
金融機関への攻撃
このマルウェアは、暗号通貨スティラーモジュールを通じてさらなる金銭的窃盗を可能にします。MetaMask、Trust Wallet、Binance、Coinbaseなどのウォレットアプリをスキャンし、ウォレットIDと残高を記録します。さらに、クリップボードアドレスインジェクションを試み、コピーされたウォレットアドレスを攻撃者によって制御されるアドレスに置き換えます。
銀行スティラーは、オンラインバンキングアプリ、Google PayやPhonePeなどのUPIプラットフォーム、Apple PayやPayPalといった決済サービスを標的とします。資格情報の窃盗は、偽の画面をオーバーレイすることで発生します。
ZeroDayRATの脅威と対策
iVerifyは、ZeroDayRATの配布方法については詳述していませんが、これが「完全なモバイル侵害ツールキット」であると警告しています。従業員のデバイスが侵害された場合、企業全体のデータ漏洩につながる可能性があり、個人にとってはプライバシーの暴露や金銭的損失につながるおそれがあります。
ユーザーは、公式のアプリストア(AndroidのGoogle Play、iOSのApple Store)のみを信頼し、信頼できる発行元のアプリのみをインストールすることが推奨されます。また、高リスクユーザーは、iOSでは「ロックダウンモード」、Androidでは「高度な保護」を有効にすることを検討すべきです。