ZeroDayRAT Mobile Spyware
Cybersicherheitsforscher haben eine hochentwickelte mobile Spionage-Plattform namens ZeroDayRAT entdeckt, die derzeit auf Telegram als umfassende Lösung zum Sammeln sensibler Daten und zur Echtzeitüberwachung von Android- und iOS-Geräten beworben wird. Die als sofort einsatzbereite Spionage-Suite vermarktete Plattform geht weit über die einfache Datenerfassung hinaus und umfasst aktive Überwachung und direkte finanzielle Ausbeutung.
Der Anbieter unterhält eigene Telegram-Kanäle für Vertrieb, Kundenservice und laufende Updates und bietet Käufern so einen zentralen Zugriff auf ein voll funktionsfähiges Spyware-Ökosystem. Dieses optimierte Vertriebsmodell senkt die Einstiegshürde für Cyberkriminelle, die nach fortschrittlichen Überwachungsfunktionen suchen, erheblich.
Inhaltsverzeichnis
Breite Gerätekompatibilität und flexible Bereitstellung
ZeroDayRAT unterstützt Android-Versionen 5 bis 16 und iOS-Versionen bis 26 und gewährleistet so eine breite Geräteabdeckung. Die Schadsoftware wird vermutlich hauptsächlich über Social-Engineering-Kampagnen und betrügerische App-Marktplätze verbreitet, die Nutzer zur Installation schädlicher Anwendungen verleiten sollen.
Käufer erhalten einen Malware-Generator, der individuell angepasste Schadsoftware erstellt. Diese Schadsoftware wird über ein Online-Kontrollpanel verwaltet, das Betreiber auf ihren eigenen Servern einsetzen können und ihnen so die volle administrative Kontrolle über infizierte Geräte ermöglichen.
Umfassende Geräteintelligenz und Standortverfolgung
Nach der Installation bietet ZeroDayRAT Betreibern umfassende Einblicke in das kompromittierte Gerät. Über ein selbst gehostetes Management-Panel können Angreifer auf detaillierte Informationen wie Gerätemodell, Betriebssystemversion, Akkustand, SIM-Daten, Mobilfunkanbieterinformationen, Anwendungsnutzung, Benachrichtigungsinhalte und Vorschauen der letzten SMS zugreifen. Diese Informationen ermöglichen es Angreifern, detaillierte Opferprofile zu erstellen, einschließlich Kommunikationsmuster und häufig genutzter Anwendungen.
Die Plattform erfasst zudem GPS-Koordinaten in Echtzeit und stellt diese mithilfe von Google Maps dar, während gleichzeitig ein Bewegungsprotokoll des Opfers geführt wird. Diese permanente Standortverfolgung verwandelt das infizierte Gerät effektiv in ein kontinuierliches Überwachungsinstrument.
Kontoaufzählung und Offenlegung von Anmeldeinformationen
Besonders besorgniserregend ist das Panel „Konten“, das alle auf dem infizierten Gerät registrierten Konten auflistet. Dazu gehören weit verbreitete Dienste wie:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm und Spotify
Auch zugehörige Benutzernamen oder E-Mail-Adressen werden offengelegt, was das Sammeln von Zugangsdaten, die Erstellung von Identitätsprofilen und potenzielle Kontoübernahmeversuche ermöglicht.
Erweiterte Überwachung und Umgehung der Zwei-Faktor-Authentifizierung
ZeroDayRAT verfügt über eine Reihe von aufdringlichen Überwachungs- und Abhörfunktionen. Dazu gehören:
- Tastatureingabeprotokollierung zum Erfassen von Anmeldeinformationen und privater Kommunikation
- Extraktion von SMS-Nachrichten, einschließlich Einmalpasswörtern (OTPs), die zur Umgehung der Zwei-Faktor-Authentifizierung verwendet werden.
- Echtzeit-Kamerastreaming und Mikrofonaktivierung für die audiovisuelle Live-Überwachung
Diese Funktionen ermöglichen es Angreifern, interaktive Überwachung direkt durchzuführen und kompromittierte Geräte in Instrumente zur Fernaufklärung zu verwandeln.
Integrierte Module für Kryptowährungs- und Bankdiebstahl
Neben der Überwachung integriert die Schadsoftware Mechanismen zum Diebstahl von Kryptowährungen. Eine Komponente zum Ausspähen von Kryptowährungen sucht nach Wallet-Anwendungen wie MetaMask, Trust Wallet, Binance und Coinbase. Sobald ein Opfer eine Wallet-Adresse in die Zwischenablage kopiert, ersetzt die Schadsoftware diese durch eine vom Angreifer kontrollierte Adresse und leitet Transaktionen unbemerkt um.
Ein speziell entwickeltes Modul zum Diebstahl von Bankdaten zielt zudem auf digitale Zahlungsdienste wie Apple Pay, Google Pay, PayPal und PhonePe ab. PhonePe nutzt Indiens Unified Payments Interface (UPI), ein Protokoll zur Erleichterung von Peer-to-Peer-Transaktionen zwischen Banken und zwischen Privatpersonen und Händlern, was es zu einem attraktiven Ziel für finanziell motivierte Akteure macht.
Sich entwickelnde mobile Spionagebedrohungen
ZeroDayRAT ist ein vollständig ausgereiftes Framework zur Kompromittierung mobiler Systeme. Funktionen, die zuvor staatliche Ressourcen oder die Entwicklung eigener Exploits erforderten, sind nun kommerziell über Telegram verfügbar. Ein einzelner Angreifer kann browserbasierten Zugriff auf Standortdaten, Kommunikation, Finanzkonten, Kamerabilder, Mikrofonaufnahmen und Tastatureingaben eines Opfers erlangen.
Die Schadsoftware reiht sich in einen breiteren Trend bei mobilen Bedrohungen ein, die Phishing-Kampagnen und das Eindringen in offizielle App-Marktplätze ausnutzen. Angreifer haben wiederholt Methoden gefunden, um die von Apple und Google implementierten Sicherheitsvorkehrungen zu umgehen und Nutzer häufig zur Installation schädlicher Anwendungen zu verleiten.
Auf iOS-Geräten missbrauchen Kampagnen häufig die Bereitstellungsmechanismen von Unternehmen, die es Organisationen ermöglichen, Anwendungen außerhalb des offiziellen App Stores zu vertreiben. Durch die Kommerzialisierung von Spyware-Paketen, die Überwachungs- und Finanzbetrugsfunktionen kombinieren, senken Angreifer kontinuierlich die technischen Hürden für weniger erfahrene Cyberkriminelle und verstärken gleichzeitig die Raffinesse und Hartnäckigkeit mobiler Angriffe.
ZeroDayRAT unterstreicht eine entscheidende Realität: Hochentwickelte mobile Überwachungs- und Finanzausbeutungsfähigkeiten sind nicht länger auf Elite-Bedrohungsgruppen beschränkt, sondern zunehmend auch im Untergrund der Cyberkriminalität zugänglich.
