ZeroDayRAT モバイルスパイウェア

サイバーセキュリティ研究者らは、ZeroDayRATと呼ばれる高度なモバイルスパイウェアプラットフォームを発見しました。このプラットフォームは現在、Telegram上で、AndroidとiOSの両方のデバイスから機密データを抽出し、リアルタイム監視を行う包括的なソリューションとして宣伝されています。すぐに導入できるスパイ活動ツールとして販売されているこのプラットフォームは、基本的なデータ収集にとどまらず、能動的な監視や直接的な金銭搾取までをも可能にします。

運営会社は、販売、顧客サポート、継続的なアップデートのための専用Telegramチャンネルを運営しており、購入者にフル機能のスパイウェアエコシステムへの集中的なアクセスを提供しています。この合理化された配布モデルは、高度な監視機能を求めるサイバー犯罪者にとって参入障壁を大幅に下げています。

幅広いデバイス互換性と柔軟な導入

ZeroDayRATはAndroidバージョン5から16、iOSバージョン26までをサポートしており、幅広いデバイスに対応しています。このマルウェアは主に、ユーザーを欺いて悪意のあるアプリケーションをインストールさせることを目的としたソーシャルエンジニアリングキャンペーンや不正アプリマーケットプレイスを通じて拡散されていると考えられています。

購入者は、カスタマイズされた悪意のあるバイナリを生成するマルウェアビルダーを受け取ります。これらのバイナリは、オペレーターが自社のサーバーに導入できるオンラインコントロールパネルを通じて管理され、感染したデバイスに対する完全な管理権限が付与されます。

包括的なデバイスインテリジェンスと位置追跡

ZeroDayRATがインストールされると、オペレーターは侵害対象デバイスに関する広範な可視性を得ることができます。攻撃者は、セルフホスト型の管理パネルを通じて、デバイスモデル、オペレーティングシステムのバージョン、バッテリー残量、SIMデータ、キャリア情報、アプリケーションの使用状況、通知内容、最近のSMSメッセージのプレビューといった詳細情報にアクセスできます。この情報により、脅威アクターは通信パターンや頻繁に使用されるアプリケーションなど、被害者の詳細なプロファイルを構築することが可能になります。

このプラットフォームは、リアルタイムのGPS座標を取得し、Googleマップを使用してマッピングするとともに、被害者の移動履歴を記録します。この継続的な位置情報追跡により、感染したデバイスは事実上、継続的な監視ツールへと変貌を遂げます。

アカウントの列挙と資格情報の露出

特に懸念されるのは「アカウント」パネルの機能です。感染したデバイスに登録されているすべてのアカウントが一覧表示されます。これには、以下のような広く利用されているサービスが含まれます。

• Google、WhatsApp、Instagram、Facebook、電報
• Amazon、Flipkart、PhonePe、Paytm、Spotify

関連するユーザー名や電子メール アドレスも公開され、資格情報の収集、ID プロファイリング、アカウント乗っ取りの試みが可能になります。

高度な監視と二要素認証のバイパス

ZeroDayRATには、侵入型の監視および傍受機能を幅広く備えています。具体的には以下のとおりです。

• 資格情報とプライベート通信をキャプチャするためのキーストロークのログ記録
• 二要素認証のバイパスに使用されるワンタイムパスワード（OTP）を含むSMSメッセージの抽出
• リアルタイムのカメラストリーミングとマイクの有効化によるライブオーディオビジュアルモニタリング

これらの機能により、攻撃者は実践的でインタラクティブな監視を実施し、侵害されたデバイスをリモート情報収集資産に変えることができます。

統合された暗号通貨および銀行盗難モジュール

このマルウェアは監視機能に加え、金銭窃取のメカニズムも備えています。暗号通貨窃取コンポーネントは、MetaMask、Trust Wallet、Binance、Coinbaseなどのウォレットアプリケーションをスキャンします。被害者がウォレットアドレスをクリップボードにコピーすると、マルウェアはそれを攻撃者が管理するアドレスに置き換え、ユーザーに気付かれることなく取引をリダイレクトします。

専用のバンキングスティーラーモジュールは、Apple Pay、Google Pay、PayPal、PhonePeなどのデジタル決済サービスをさらに標的としています。PhonePeは、銀行間ピアツーピア取引や個人と加盟店間の取引を容易にするために設計されたプロトコルであるインドのUnified Payments Interface（UPI）を活用しており、金銭目的の攻撃者にとって魅力的な標的となっています。

進化するモバイルスパイの脅威

ZeroDayRATは、完全にパッケージ化されたモバイル侵害フレームワークであり、以前は国家のリソースやカスタムエクスプロイトの開発を必要としていた機能が、Telegram経由で商用利用可能になりました。1人のオペレーターが、被害者の位置情報、通信、金融口座、カメラ映像、マイク入力、キー入力にブラウザベースでアクセスできるようになります。

このマルウェアは、フィッシングキャンペーンや公式アプリマーケットプレイスへの侵入を悪用するモバイル脅威の広範なトレンドに合致しています。攻撃者は、AppleとGoogleが実装した安全対策を回避する手法を繰り返し特定しており、多くの場合、ユーザーを操って悪意のあるアプリケーションをインストールさせています。

iOSデバイスでは、企業が公式App Store以外でアプリケーションを配布できるようにするエンタープライズプロビジョニングメカニズムが、攻撃キャンペーンで頻繁に悪用されています。監視機能と金銭窃盗機能を組み合わせたスパイウェアバンドルを商品化することで、脅威アクターは経験の浅いサイバー犯罪者にとっての技術的障壁を下げ続けながら、モバイルを標的とした攻撃の高度化と持続性を高めています。

ZeroDayRAT は、高度なモバイル監視機能と金銭搾取機能がエリートの脅威グループに限定されなくなり、サイバー犯罪の地下組織内でもアクセスしやすくなっているという重大な現実を浮き彫りにしています。