В Telegram распространяют новый шпионский комплект ZeroDayRAT
3 мин
30
1
Новый коммерческий шпионский комплект ZeroDayRAT по функционалу может заменить целую спецслужбу: прямая трансляция с камеры, запись экрана, звук с микрофона. Кейлоггер собирает абсолютно всё, включая биометрию и каждое нажатие. Также в ВПО есть модули для кражи банковских данных и криптовалюты. Специалисты из iVerify впервые обнаружили ZeroDayRAT 2 февраля 2026 года. Шпионский комплект работает на Android и iOS, даёт полный контроль над устройством. Покупателей для него ищут в Telegram.
Эксперты по информационной безопасности объяснили схему. Покупатель получает панель управления и билдер. Поднимает свой сервер, настраивает панель, генерирует пейлоады. После этого он может использовать ZeroDayRAT для фишинга, смишинга, размещения троянизированных приложений в нелегальных магазинах, социальной инженерии. В интерфейсе есть вкладка эксплойтов, но подтвердить наличие готовых у экспертов пока не получилось.
После заражения устройства начинается сбор информации: его модель, версия ОС, батарея, страна, данные SIM-карт, операторы связи, какие приложения использует жертва и сколько времени в них проводит. ZeroDayRAT составляет полную хронологию активности, формирует превью SMS, собирает историю перемещений по встроенной карте Google Maps.
Программа извлекает содержимое мессенджеров и соцсетей, имена пользователей и e-mail из всех зарегистрированных аккаунтов. Так создаётся готовая база для социальной инженерии, которую злоумышленники могут сразу использовать.
Кейлоггер фиксирует каждое действие — разблокировки, жесты, нажатия, запуски приложений. Атакующий видит в реальном времени, что делает и что печатает жертва. Как пояснили в iVerify, оператор может одновременно наблюдать за жертвой через камеру, слушать микрофон и видеть местоположение цели.
Криптовалютный модуль работает через подмену буфера обмена. Жертва копирует адрес кошелька для перевода, а программа незаметно меняет его на адрес злоумышленника. Кража происходит автоматически при каждой попытке отправить средства. Банковский модуль следует за учётными данными и не инициирует переводы напрямую. Несанкционированные входы в систему станут заметны, но к этому моменту ущерб уже будет нанесён.
Обнаружить ZeroDayRAT сложно, так как индикаторов компрометации почти нет. Аккумулятор устройства разряжается быстрее обычного, но это не может служить однозначным доказательством. Самый очевидный признак — странные транзакции на незнакомые адреса или неизвестные логины в банковских приложениях.
Нейтрализовать угрозу также будет сложно, поскольку найти создателей практически нереально. Реклама ZeroDayRAT идёт на пяти языках: португальском, русском, китайском, испанском, английском. На китайском языке злоумышленники публикуют объявления с использованием российских доменов и атакуют индийцев. Центрального сервера у ZeroDayRAT нет, потому что каждый оператор разворачивает свою инфраструктуру. Единственным узким местом специалисты по ИБ называют канал продаж в Telegram. Однако блокировка и удаление происходят медленно, а после разработчики ВПО просто создают новый.
