一款名为 ZeroDayRAT 的新款手机间谍软件正在 Telegram 上公开销售,它能完全控制安卓和 iOS 设备,实现实时监控、窃取账户乃至直接盗取资金。
最近我们发现了一个手机间谍软件新玩意,叫 ZeroDayRAT。它从 2 月 2 号开始活跃,就在 Telegram 上大大方方地卖。开发者拉了好几个频道,一个做买卖,一个搞客服,还有个发更新通知,把全套间谍软件控制面板的使用权打包卖给买家。
买家用上这个控制面板,就能完全远程操控别人的安卓或 iOS 设备。它支持的系统很广,从安卓 5 一路覆盖到安卓 16,iOS 则支持到连 iPhone 17 Pro 也能用的 26 版。用起来一点技术门槛都没有,功能也远超普通的偷数据,能做到实时监视,还能直接偷钱。
怎么感染你的手机
攻击者得想办法先把恶意程序装到目标手机上——安卓是 APK 安装包,iOS 是特定的载荷文件。最常见的办法是“短信钓鱼”:受害者收到一条带链接的短信,下载一个看起来像正经 APP 的东西,然后亲手装上。当然,钓鱼邮件、假冒的应用商店,还有 WhatsApp 或 Telegram 上分享的链接,也都能达到目的。
▲ 图 1: ZeroDayRAT 的控制面板,显示着印度和美国的两台设备。
设备概览与用户画像
手机一旦中招,攻击者第一眼看到的就是“概览”标签页。设备型号、操作系统、电量、所在国家、锁屏状态、SIM 卡和运营商信息、双卡手机的两个号码、按时间统计的 APP 使用情况、实时活动时间线,还有最近短信预览,这些信息全都挤在一个屏幕里。
▲ 图 2: 一台被攻破的安卓设备的概览标签页。
光这一个屏幕,就够给受害者画个像了:他跟谁联系多、常用什么 APP、什么时候活跃、用的什么网络。往下翻,还能看到被截获的短信,有银行发的,有运营商发的,也有私人联系人的。不过概览页只是个开头,面板的其他部分会把你的手机扒得更彻底。
▲ 图 3: 在概览标签页中看到的被截获的短信。
位置、通知与账户访问
除了概览,每一种数据流都有自己的专属标签页。GPS 坐标会被提取出来,并在地图视图上标出历史轨迹。攻击者不仅能知道你的实时位置,还能查你去过哪儿。
▲ 图 4: 对班加罗尔一台被控设备的实时 GPS 追踪。
手机通知会被单独捕获:APP 名称、通知标题、内容和时间戳。管你是 WhatsApp 消息、Instagram 提醒、未接来电、Telegram 更新、YouTube 推送还是系统事件,攻击者不用打开任何一个 APP,就能被动地窥探你手机上几乎发生的所有事。
▲ 图 5: 对所有 APP 的实时通知捕获。
“账户”标签页带来的麻烦更大。手机上注册过的每一个账户都会被列出来:Google、WhatsApp、Instagram、Facebook、Telegram、Amazon、Flipkart、PhonePe、Paytm、Spotify 等等,每个账户都关联着对应的用户名或邮箱。这基本上就是把攻击者接管账户或发动精准社交工程攻击所需的一切,都打包奉上了。
▲ 图 6: 被控制手机上注册的所有账户。
短信访问权限则为数据收集画上句号:可以搜索整个收件箱,能用手机号发送短信,还能看到银行和平台发来的 OTP 验证码。基于短信的双重验证,在这儿算是彻底失效了。
实时监视与键盘记录
上面说的这些都还是被动数据收集。“监视”标签页则进入了实时物理访问阶段:实时摄像头流(前置或后置)、屏幕录制,还有麦克风监听。再加上 GPS 追踪,攻击者可以同时看着你、听着你、并锁定你的位置。
▲ 图 7: 从一个控制面板同时获取摄像头、屏幕和麦克风的访问权限。
和监视工具配套的,还有一个键盘记录器。它会捕捉每一次输入,并附上应用上下文和毫秒级的时间戳:生物识别解锁、手势操作、按键、APP 启动。控制面板右侧还会运行一个实时屏幕预览,这样攻击者就能一边看你在做什么,一边看你正输入什么。
▲ 图 8: 键盘记录器输出与实时屏幕预览并列显示。
银行与加密货币盗窃
有了上面所有这些访问权限,“窃取器”标签页就开始直接偷钱了。加密货币窃取器会扫描 MetaMask、Trust Wallet、Binance、Coinbase 这类钱包 APP,记录钱包 ID 和余额。它还会进行剪贴板地址替换,静默地把用户复制的钱包地址换成攻击者的,这样外转账就会转到攻击者那里去。
▲ 图 9: 加密货币窃取器检测钱包并替换剪贴板地址。
另一个银行窃取模块,则专门针对网上银行 APP、PhonePe 和 Google Pay 这类 UPI 支付平台,以及 Apple Pay 和 PayPal 等服务,通过覆盖层攻击来窃取凭证。有了这两个模块,攻击者从一个面板就能同时对传统金融账户和加密货币下手。
▲ 图 10: 控制面板里报告着来自不同国家的安卓和 iOS 设备。
一个不会消失的麻烦
总的来说,这就是一套完整的手机入侵工具包。过去这得是国家层面投资或定制开发漏洞才能搞出来的东西,现在 Telegram 上就能买到。一个买家,通过一个浏览器标签页,就能完全获取目标的位置、消息、财务、摄像头、麦克风和按键记录。跨平台支持和持续的开发更新,让它对个人和组织的威胁越来越大。
对企业来说,一台员工手机被攻破,就可能成为窃取凭证、接管账户和外泄数据的途径。对个人而言,这意味着隐私彻底沦陷,以及直接的财务风险。手机安全现在必须得到和电脑终端、电子邮件安全同等的重视。
要检测 ZeroDayRAT 这类威胁,需要能超越传统设备管理的移动端点检测与响应方案。像 iVerify 这样的工具,结合了设备端威胁检测、移动取证和自动响应,能在自带设备办公(BYOD)和托管设备队列中识别间谍软件、恶意软件和入侵迹象。
