HackerNews 编译,转载请注明出处:
一款名为 ZeroDayRAT 的新型移动间谍软件攻击活动已被记录,其攻击目标同时覆盖安卓与 iOS 设备。
该跨平台工具可使攻击者持久获取用户的个人通信内容、精准定位数据及银行业务操作记录。
网络安全厂商 iVerify 发布的最新安全公告显示,该恶意软件的新颖之处在于其为操控者提供的控制权限广度,以及极低的设备感染门槛。
攻击者仅需诱骗受害者安装恶意二进制文件,即可攻陷目标设备,此类文件通常为安卓 APK 安装包或 iOS 恶意有效载荷。
短信钓鱼仍是最常用的诱骗手段,攻击者通过短信推送仿冒但极具迷惑性的应用链接。研究人员还观测到钓鱼邮件、假冒应用商店,以及通过 WhatsApp、Telegram 传播的恶意链接等攻击方式。
设备概览、用户画像构建与资金窃取
设备感染后,攻击者通过专属网页端控制面板,首先可查看目标设备的全面概览信息。
面板会展示硬件参数、操作系统版本、电池状态、归属国家、SIM 卡与运营商信息、设备锁定状态,以及按时间拆分的应用使用数据。
近期短信与实时行为时间轴同步展示,帮助攻击者快速构建用户行为习惯与联系人画像。
浏览概览界面即可查看截获的银行、移动通信运营商及个人联系人信息。该单一面板可呈现用户高频联系人、设备活跃时段及接入网络等关键信息。攻击者可基于该界面进一步获取更细分的数据流。
独立功能标签页搭载更多监控功能。全球定位系统(GPS)数据会在嵌入式谷歌地图界面呈现,并保留完整定位历史轨迹。
恶意软件可在不启动任何应用的前提下,被动抓取设备通知,包括 WhatsApp、Instagram、Telegram、YouTube 的提醒、未接来电及系统事件。
ZeroDayRAT 还搭载专用资金窃取模块:
· 加密货币窃取模块:可识别加密货币钱包,并替换为攻击者控制的剪贴板地址
· 银行信息窃取模块:通过覆盖层攻击,针对网上银行应用、PhonePe 与谷歌支付等统一支付接口(UPI)平台,以及苹果支付、贝宝等支付服务实施窃取
持续性且持续升级的威胁
iVerify 表示,该平台构成了一套完整的移动设备攻陷工具套件,此类能力以往仅国家级主体可掌握。
如今该工具通过 Telegram 频道公开售卖,购买者可获取目标设备的定位、短信、资金、相机、麦克风及按键记录,覆盖安卓与 iOS 双系统。
iVerify 警示,员工设备被攻陷将引发凭据窃取、账户劫持与数据窃取等严重安全风险。
研究团队表示:“对企业而言,员工沦陷设备是凭据窃取、账户劫持与数据窃取的攻击向量。”
“对个人而言,这意味着隐私完全泄露,直接面临财产损失风险。移动设备安全需与终端安全、邮件安全同等重视。”
研究团队补充,检测 ZeroDayRAT 这类威胁需要移动终端检测与响应(EDR)能力,该能力超越传统设备管理范畴,可在统一管理与自带设备办公(BYOD)环境中,融合设备端检测、移动取证与自动化响应能力。
消息来源:infosecurity-magazine.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文