Logiciel espion mobile ZeroDayRAT
Des chercheurs en cybersécurité ont découvert une plateforme espionne mobile sophistiquée, baptisée ZeroDayRAT, actuellement présentée sur Telegram comme une solution complète d'extraction de données sensibles et de surveillance en temps réel des appareils Android et iOS. Commercialisée comme une suite d'espionnage prête à l'emploi, cette plateforme va bien au-delà de la simple collecte de données et s'aventure jusqu'à la surveillance active et l'exploitation financière directe.
L'opérateur gère des chaînes Telegram dédiées aux ventes, à l'assistance client et aux mises à jour régulières, offrant ainsi aux acheteurs un accès centralisé à un écosystème de logiciels espions pleinement fonctionnel. Ce modèle de distribution simplifié facilite considérablement l'accès à ces solutions pour les cybercriminels en quête de capacités de surveillance avancées.
Table des matières
Compatibilité étendue avec les appareils et déploiement flexible
ZeroDayRAT est compatible avec Android 5 à 16 et iOS jusqu'à la version 26, assurant ainsi une large couverture des appareils. Ce logiciel malveillant serait principalement distribué via des campagnes d'ingénierie sociale et des plateformes de téléchargement d'applications frauduleuses conçues pour inciter les utilisateurs à installer des applications malveillantes.
Les acheteurs reçoivent un outil de création de logiciels malveillants qui génère des fichiers binaires malveillants personnalisés. Ces fichiers sont gérés via un panneau de contrôle en ligne que les opérateurs peuvent déployer sur leurs propres serveurs, leur conférant ainsi un contrôle administratif complet sur les appareils infectés.
Suivi complet des appareils et de leur localisation
Une fois installé, ZeroDayRAT offre aux opérateurs une visibilité complète sur l'appareil compromis. Grâce à un panneau de gestion auto-hébergé, les attaquants peuvent accéder à des informations détaillées telles que le modèle de l'appareil, la version du système d'exploitation, l'état de la batterie, les données de la carte SIM, les informations sur l'opérateur, l'utilisation des applications, le contenu des notifications et un aperçu des SMS récents. Ces renseignements permettent aux acteurs malveillants d'établir des profils de victimes détaillés, incluant les habitudes de communication et les applications fréquemment utilisées.
La plateforme enregistre en temps réel les coordonnées GPS et les affiche sur Google Maps, tout en conservant un historique des déplacements de la victime. Ce suivi géolocalisé permanent transforme ainsi l'appareil infecté en un outil de surveillance continue.
Énumération des comptes et exposition des identifiants
L'une des fonctionnalités les plus inquiétantes est le panneau « Comptes », qui répertorie tous les comptes enregistrés sur l'appareil infecté. Cela inclut des services largement utilisés tels que :
- Google, WhatsApp, Instagram, Facebook, Télégramme
- Amazon, Flipkart, PhonePe, Paytm et Spotify
Les noms d'utilisateur ou adresses électroniques associés sont également exposés, ce qui permet la collecte d'identifiants, le profilage d'identité et d'éventuelles tentatives de prise de contrôle de compte.
Contournement de la surveillance avancée et de l’authentification à deux facteurs
ZeroDayRAT intègre un ensemble de fonctionnalités de surveillance et d'interception intrusives. Celles-ci incluent :
- Enregistrement des frappes au clavier pour capturer les identifiants et les communications privées
- Extraction des messages SMS, y compris les mots de passe à usage unique (OTP) utilisés pour le contournement de l'authentification à deux facteurs
- Diffusion en direct des flux vidéo et activation du microphone pour la surveillance audiovisuelle en temps réel
Ces fonctionnalités permettent aux adversaires de mener une surveillance interactive et directe, transformant les appareils compromis en outils de collecte de renseignements à distance.
Modules intégrés de lutte contre le vol de cryptomonnaies et de données bancaires
Outre la surveillance, ce logiciel malveillant intègre des mécanismes de vol financier. Un composant de vol de cryptomonnaies recherche les applications de portefeuille telles que MetaMask, Trust Wallet, Binance et Coinbase. Lorsqu'une victime copie une adresse de portefeuille dans le presse-papiers, le logiciel malveillant la remplace par une adresse contrôlée par l'attaquant, redirigeant ainsi les transactions à l'insu de l'utilisateur.
Un module de piratage bancaire dédié cible également les services de paiement numérique, notamment Apple Pay, Google Pay, PayPal et PhonePe. PhonePe utilise l'interface de paiement unifiée (UPI) indienne, un protocole conçu pour faciliter les transactions interbancaires entre particuliers et entre particuliers et commerçants, ce qui en fait une cible de choix pour les acteurs à motivation financière.
Évolution des menaces liées à l’espionnage mobile
ZeroDayRAT est une solution complète de compromission mobile. Des fonctionnalités qui nécessitaient auparavant des ressources étatiques ou le développement d'exploits spécifiques sont désormais disponibles commercialement via Telegram. Un seul opérateur peut ainsi accéder, via un navigateur, aux données de géolocalisation, aux communications, aux comptes financiers, au flux vidéo de la caméra, aux entrées microphone et aux frappes au clavier d'une victime.
Ce logiciel malveillant s'inscrit dans une tendance plus large des menaces mobiles qui exploitent les campagnes d'hameçonnage et l'infiltration des plateformes de téléchargement d'applications officielles. Les attaquants ont régulièrement trouvé des méthodes pour contourner les mesures de protection mises en place par Apple et Google, manipulant souvent les utilisateurs afin qu'ils installent des applications malveillantes.
Sur les appareils iOS, les campagnes exploitent fréquemment les mécanismes de déploiement d'entreprise qui permettent aux organisations de distribuer des applications en dehors de l'App Store officiel. En commercialisant des logiciels espions combinant surveillance et vol financier, les acteurs malveillants continuent de simplifier la tâche des cybercriminels les moins expérimentés, tout en renforçant la sophistication et la persistance des attaques ciblant les appareils mobiles.
ZeroDayRAT met en lumière une réalité cruciale : les capacités avancées de surveillance mobile et d’exploitation financière ne sont plus l’apanage des groupes de menaces d’élite, mais sont de plus en plus accessibles au sein du cybercrime clandestin.
