- Το νέο spyware ZerodayRAT στοχεύει συσκευές Android και iOS, επιτρέποντας πλήρη απομακρυσμένη πρόσβαση μέσω ενός απλού browser.
- Διανέμεται κυρίως μέσω phishing σε SMS και Telegram, απαιτώντας από το θύμα να κατεβάσει μια φαινομενικά νόμιμη εφαρμογή.
- Οι επιτιθέμενοι μπορούν να παρακολουθούν κάμερες, μικρόφωνα, τοποθεσία GPS και να υποκλέπτουν κωδικούς σε πραγματικό χρόνο.
Επικίνδυνο νέο Spyware απειλεί χρήστες Android και iOS
Ένα νέο λογισμικό κατασκοπείας εξελίσσεται σε ισχυρό εργαλείο παρακολούθησης για συσκευές Android και iOS. Οι επιτιθέμενοι χρειάζεται απλώς να μπορούν να χειριστούν έναν browser για να αποκτήσουν τον έλεγχο.
Ερευνητές ασφαλείας της iVerify προειδοποιούν για το νέο spyware με την ονομασία ZerodayRAT, το οποίο είναι συμβατό τόσο με iOS όσο και με Android. Σύμφωνα με δημοσίευση των ερευνητών, το κακόβουλο λογισμικό διαφημίζεται μέσω Telegram.
Επί της ουσίας παρέχει στους επιτιθέμενους απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές, επιτρέποντάς τους να εξάγουν εμπιστευτικά δεδομένα και να έχουν πρόσβαση, μεταξύ άλλων, σε κάμερες, μικρόφωνα, SMS και την τρέχουσα τοποθεσία.
Οι ερευνητές αναφέρουν ότι εντόπισαν το ZerodayRAT για πρώτη φορά στις 2 Φεβρουαρίου. Υποστηρίζει εκδόσεις Android από 5 έως 16, καθώς και iOS έως και την έκδοση 26 (όπως ισχυρίζονται οι δημιουργοί του).
Ο προγραμματιστής του διαχειρίζεται πολλά κανάλια στο Telegram για την πώληση, την υποστήριξη πελατών και τις ενημερώσεις του λογισμικού.
Το λογισμικό πωλείται ως υπηρεσία, επιτρέποντας σε οποιονδήποτε διαθέτει τα χρήματα να γίνει “χάκερ” χωρίς να απαιτούνται εξειδικευμένες γνώσεις προγραμματισμού.
Διάδοση μέσω Phishing
Οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν το ZerodayRAT για δικές τους επιθέσεις έναντι πληρωμής. Η μόλυνση πραγματοποιείται κυρίως μέσω συνδέσμων σε μηνύματα Phishing.
Συνήθως αυτά έρχονται μέσω SMS, αλλά μερικές φορές και μέσω Email, Whatsapp ή Telegram. Όποιος ανοίξει έναν από αυτούς τους συνδέσμους, οδηγείται στη λήψη μιας φαινομενικά νόμιμης εφαρμογής, η οποία όμως περιέχει το spyware.
Στη συνέχεια, ο χρήστης πρέπει να παραπλανηθεί ώστε να εγκαταστήσει την εφαρμογή και, ανάλογα με τη λειτουργία του spyware, να παραχωρήσει τις απαραίτητες άδειες.
Αυτό επιτυγχάνεται συχνά μέσω Social Engineering (κοινωνικής μηχανικής), αλλά μερικές φορές και απλά μέσω φυσικής πρόσβασης από τρίτους – για παράδειγμα, σε ένα ξεκλείδωτο smartphone που αφέθηκε χωρίς επίβλεψη σε ένα μπαρ, ή επειδή ένας άγνωστος δανείστηκε τη συσκευή “για ένα σύντομο τηλεφώνημα”.
Πλήρης έλεγχος μέσω διαδικτυακής πύλης
Οι μολυσμένες συσκευές μπορούν να ελέγχονται εξ αποστάσεως με το ZerodayRAT. Αυτό γίνεται απλά μέσω ενός πίνακα ελέγχου (Dashboard).
Ο προγραμματιστής φαίνεται να έχει επενδύσει πολύ χρόνο για να κάνει τη χρήση του spyware όσο το δυνατόν πιο απλή, ώστε να μπορεί να ελέγχεται ακόμα και από επιτιθέμενους με ελάχιστες τεχνικές γνώσεις, μέσα από μια καρτέλα του browser.
Μέσω του Dashboard, μπορούν να διαβαστούν πληροφορίες συστήματος και άλλα δεδομένα από τις μολυσμένες συσκευές. Παρακάτω παρουσιάζονται τα δεδομένα που είναι εκτεθειμένα:
| Κατηγορία Δεδομένων | Λεπτομέρειες Πρόσβασης |
|---|---|
| Πληροφορίες Συσκευής | Μοντέλο συσκευής, κατάσταση φόρτισης μπαταρίας, αριθμοί τηλεφώνου SIM καρτών. |
| Λογαριασμοί Χρήστη | Google, Whatsapp, Instagram, Facebook, Telegram. |
| Ζωντανή Παρακολούθηση | Πρόσβαση σε κάμερες/μικρόφωνα, GPS location, περιεχόμενο οθόνης. |
| Οικονομικά Δεδομένα | Κωδικοί Crypto-wallets, Google Pay, Apple Pay, Paypal. |
Επιπλέον, το ZerodayRAT περιλαμβάνει λειτουργίες ζωντανής παρακολούθησης.
Οι επιτιθέμενοι μπορούν να έχουν πρόσβαση σε πραγματικό χρόνο στις ενσωματωμένες κάμερες και μικρόφωνα, να παρακολουθούν την τοποθεσία μέσω GPS, να βλέπουν το τρέχον περιεχόμενο της οθόνης, καθώς και να καταγράφουν κάθε πληκτρολόγηση μέσω Keylogger.
Η τρέχουσα τοποθεσία της συσκευής μπορεί να προβληθεί απευθείας σε χάρτη.
Το spyware έχει τη δυνατότητα να υποκλέψει διαπιστευτήρια εισόδου για κρυπτοπορτοφόλια και υπηρεσίες πληρωμών όπως το Paypal, απειλώντας άμεσα τα χρήματά σας.
Τεράστιος κίνδυνος για τις επιχειρήσεις
Οι ερευνητές της iVerify βλέπουν στο ZerodayRAT όχι μόνο έναν τεράστιο κίνδυνο για την ιδιωτικότητα των ιδιωτών χρηστών, αλλά κυρίως για την ασφάλεια δεδομένων των επιχειρήσεων.
Ακόμη και ένα μόνο παραβιασμένο smartphone ενός υπαλλήλου αρκεί συχνά για να διεισδύσουν σε ολόκληρα δίκτυα, να υποκλέψουν εμπιστευτικά δεδομένα και έτσι να προκαλέσουν τεράστιες ζημιές.
Σε αυτό το πλαίσιο, οι ερευνητές συνιστούν στις εταιρείες τη χρήση εργαλείων ασφαλείας που εντοπίζουν έγκαιρα spyware όπως το ZerodayRAT.
Κατ’ αρχήν, οι χρήστες smartphone θα πρέπει επίσης να προσέχουν ώστε, κατά το δυνατόν, να μην αφήνουν τις κινητές συσκευές τους χωρίς επιτήρηση.
Επιπλέον, εφαρμογές θα πρέπει να εγκαθίστανται μόνο από αξιόπιστες πηγές όπως το Google Play Store ή το Apple App Store.
Αν και αυτό δεν αποτελεί εγγύηση ότι οι εφαρμογές είναι ακίνδυνες και δεν θα φορτώσουν κακόβουλο λογισμικό αργότερα, μειώνει ωστόσο την επιφάνεια επίθεσης λόγω των τακτικών ελέγχων από τους διαχειριστές των καταστημάτων.
Η νέα εποχή του Malware-as-a-Service (MaaS)
Η περίπτωση του ZerodayRAT δεν είναι μεμονωμένη, αλλά ενδεικτική μιας ανησυχητικής τάσης στον κυβερνοχώρο: το μοντέλο Malware-as-a-Service (MaaS).
Πλέον, δεν χρειάζεται κάποιος να είναι ιδιοφυΐα στους υπολογιστές για να γίνει εγκληματίας. Το μόνο που χρειάζεται είναι πρόσβαση στο Telegram και μερικά κρυπτονομίσματα.
Οι δημιουργοί του ZerodayRAT λειτουργούν σαν μια κανονική εταιρεία λογισμικού, παρέχοντας ενημερώσεις, τεχνική υποστήριξη και εύχρηστα dashboards, εκδημοκρατίζοντας ουσιαστικά το έγκλημα.
Πως να καταλάβετε αν έχετε μολυνθεί
Επειδή το ZerodayRAT και παρόμοια λογισμικά σχεδιάζονται για να τρέχουν αθόρυβα στο παρασκήνιο, ο εντοπισμός τους είναι δύσκολος. Ωστόσο, υπάρχουν ορισμένα σημάδια που πρέπει να σας υποψιάσουν:
- Ασυνήθιστη κατανάλωση μπαταρίας: Αν η μπαταρία σας εξαντλείται ξαφνικά πολύ πιο γρήγορα από το συνηθισμένο, ίσως κάποια διεργασία (όπως η χρήση GPS ή κάμερας) τρέχει κρυφά.
- Υπερθέρμανση συσκευής: Αν το κινητό καίει ακόμα και όταν δεν το χρησιμοποιείτε, ενδέχεται να μεταδίδει δεδομένα.
- Αυξημένη χρήση δεδομένων: Ελέγξτε τις ρυθμίσεις δεδομένων. Αν δείτε μια άγνωστη εφαρμογή ή μια εφαρμογή συστήματος να έχει καταναλώσει GB δεδομένων, είναι ένδειξη εξαγωγής αρχείων.
- Παράξενη συμπεριφορά: Το τηλέφωνο κάνει επανεκκινήσεις μόνο του, αργεί υπερβολικά ή εμφανίζει διαφημίσεις ξαφνικά.
Πρακτικά βήματα αντιμετώπισης
Αν υποψιάζεστε ότι έχετε πέσει θύμα spyware όπως το ZerodayRAT, η άμεση αντίδραση είναι κρίσιμη. Αρχικά, αποσυνδέστε τη συσκευή από το διαδίκτυο (Wi-Fi και δεδομένα) για να σταματήσετε τη ροή πληροφοριών προς τον επιτιθέμενο.
Ελέγξτε τις «Διαχειριστικές εφαρμογές συσκευής» (Device Admin Apps) στις ρυθμίσεις ασφαλείας.
Συχνά τα malware ζητούν αυτή την άδεια για να αποτρέψουν την απεγκατάστασή τους. Αν δείτε κάτι ύποπτο εκεί, απενεργοποιήστε το.
Η πιο σίγουρη μέθοδος απαλλαγής από επίμονα spyware είναι η επαναφορά εργοστασιακών ρυθμίσεων (Factory Reset). Προσοχή: Θα διαγραφούν όλα τα αρχεία σας, γι’ αυτό κρατήστε backup (αλλά όχι των εφαρμογών).
Τέλος, είναι ζωτικής σημασίας να αλλάξετε άμεσα όλους τους κωδικούς πρόσβασης (email, e-banking, social media) από μια άλλη, καθαρή συσκευή.
Μην το κάνετε από το μολυσμένο κινητό, καθώς το Keylogger θα καταγράψει και τους νέους κωδικούς σας.
Ενεργοποιήστε παντού τον έλεγχο ταυτότητας δύο παραγόντων (2FA), κατά προτίμηση χρησιμοποιώντας μια εφαρμογή authenticator και όχι SMS, καθώς τα SMS μπορούν να υποκλαπούν από το ZerodayRAT.
