Android a iOS sužuje společný virus. Je extrémně destruktivní, krade peníze i veškeré soukromí

Spyware označený jako ZeroDayRAT je od začátku února ke koupi na Telegramu. Podle analýz umožňuje na dálku ovládnout zařízení s Androidem i iOS, jak redakce Mobify zjistila. Tento nástroj tak dokáže oběť sledovat v reálném čase a klidně jí napřímo krást peníze. Může si ho koupit prakticky kdokoliv.

Android i iOS trápí stejný destruktivní virus

Android i iOS bojují se stejným nepřítelem. ZeroDayRAT je komerčně prodávaná sada nástrojů pro vzdálený přístup (RAT alias Remote Access Trojan, který umožňuje ovládání zařízení i bez fyzického kontaktu, vysvětluje Wikipedia) . Útočník dostane po zaplacení přístup do webového panelu, odkud může napadený telefon kompletně řídit.

Podporovány jsou verze Androidu od 5 až po 16 a iOS až do verze 26, včetně těch nejnovějších modelů iPhonu, informoval SCWorld. To samo o sobě ukazuje, že vývojáři nástroj udržují stále aktuální.

Nejčastěji se šíří zprávami, e-maily nebo aplikacemi

Aby spyware fungoval, musí si oběť stáhnout napadený soubor, typicky APK na Androidu nebo podvrženou datovou část aplikace na iOS. Nejčastější cestou šíření je smishing, což je dle vysvětlení Wikipedie podvodná SMS s odkazem. Fungují i phishingové e-maily, falešné obchody s aplikacemi či odkazy šířené přes WhatsApp nebo Telegram.

Po instalaci se zařízení okamžitě objeví v přehledovém panelu útočníka. Ten vidí model telefonu, verzi systému, stav baterie, SIM karty, operátora, dokonce i časovou osu, kdy je zařízení aktivní. Už tato úvodní obrazovka umožňuje detailní profilování oběti.

Sleduje polohu, notifikace, zprávy i účty

ZeroDayRAT zaznamenává GPS souřadnice a zobrazuje je v mapě s historií pohybu. Samostatná sekce ukládá notifikace jako zprávy z WhatsAppu, Instagramu, Telegramu, bankovní upozornění i jednorázové ověřovací kódy (OTP). Dvoufázové ověření přes SMS je tak v tomto případě fakticky k ničemu.

Panel účtů s krásným přehledem vypíše veškeré registrované služby, od Google a Facebooku po Amazon anebo platební aplikace. Útočník díky tomu získá ideální podklad pro převzetí identity nebo cílené sociální podvody, popsal iVerify.

Nejhorší je pravděpodobně přímý živý dohled. Spyware umožňuje stream z přední i zadní kamery, nahrávání mikrofonu a záznam obrazovky. Současně běží keylogger, který zachytí každý stisk klávesy, gesta i biometrické odemykání. Útočník tedy může sledovat, poslouchat a číst všechno, co se na telefonu děje, v reálném čase.

Dochází i k přímým finančním krádežím

Součástí balíčku je též modul zaměřený na kryptoměny a bankovnictví. Kryptostealer vyhledává aplikace jako MetaMask, Trust Wallet, Binance či Coinbase a dokáže podvrhnout i adresu ve schránce. Oběť si myslí, že posílá kryptoměnu sama sobě, ale prostředky ve skutečnosti odchází útočníkovi.

Bankovní modul využívá takzvané overlay útoky, kdy přes legitimní aplikaci zobrazí falešnou přihlašovací obrazovku a získá údaje, popisuje Kaspersky. Cena podobných nástrojů se může pohybovat v řádu statisíců korun, což je ale ve srovnání s potenciálním ziskem poměrně zanedbatelná investice, i když to tak zprvu nevypadá.

Problém je, že každý zákazník provozuje vlastní infrastrukturu, takže neexistuje jeden centrální server, který by bylo možné vypátrat a vypnout. Telegramové kanály lze sice smazat, ale rychle vznikají nové. Základem je nestahovat aplikace mimo oficiální obchody, kontrolovat oprávnění, pravidelně aktualizovat systém a u citlivých účtů používat autentizační aplikace místo SMS.