Platform spyware seluler komersial baru yang dijuluki ZeroDayRAT diiklankan kepada penjahat dunia maya di Telegram sebagai alat yang menyediakan kendali jarak jauh penuh atas perangkat Android dan iOS yang disusupi.
Malware ini memberi pembeli panel berfitur lengkap untuk mengelola perangkat yang terinfeksi, dilaporkan mendukung Android 5 hingga 16 dan iOS hingga versi 26 terbaru.
Para peneliti di perusahaan pemburu ancaman seluler iVerify mengatakan bahwa ZeroDayRAT tidak hanya mencuri data tetapi juga memungkinkan pengawasan real-time dan pencurian finansial.
Dasbor menampilkan perangkat yang disusupi dan informasi tentang model, versi sistem operasi, status baterai, detail SIM, negara, dan status kunci.
Sumber: iVerifikasi
Malware dapat mencatat penggunaan aplikasi, jadwal aktivitas, pertukaran pesan SMS, dan memberikan gambaran umum kepada operator.
Tab pelacakan lain di dasbor menampilkan semua notifikasi yang diterima, dan juga akun terdaftar di perangkat yang terinfeksi, menampilkan email/ID pengguna, yang berpotensi mengaktifkan pemaksaan brute force dan pengisian kredensial.
Jika akses GPS diamankan, malware juga dapat melacak korban secara real time dan menggambarkan posisi mereka saat ini di tampilan Google Maps, dengan riwayat lokasi lengkap.
Sumber: iVerifikasi
Selain pencatatan data pasif, ZeroDayRAT juga mendukung operasi langsung aktif, seperti mengaktifkan kamera perangkat (depan dan belakang) dan mikrofon untuk mendapatkan akses ke umpan media langsung, atau merekam layar korban untuk mengungkap rahasia lainnya.
Sumber: iVerifikasi
Selain itu, jika izin akses SMS diamankan, malware dapat menangkap kata sandi satu kali (OTP) yang masuk, mengaktifkan bypass 2FA, dan juga mengirim SMS dari perangkat korban.
Pengembang malware juga menyertakan modul keylogging yang dapat menangkap masukan pengguna, seperti kata sandi, isyarat, atau pola buka kunci layar.
Pencurian finansial lebih lanjut dimungkinkan melalui modul pencuri mata uang kripto. Itu ditemukan peneliti bahwa komponen tersebut mengaktifkan pemindai aplikasi dompet yang mencari MetaMask, Trust Wallet, Binance, dan Coinbase, mencatat ID dan saldo dompet, dan mencoba injeksi alamat clipboard, mengganti alamat dompet yang disalin dengan alamat yang dikendalikan penyerang.
Pencuri bank menargetkan aplikasi perbankan online, platform UPI seperti Google Pay dan PhonePe, dan layanan pembayaran seperti Apple Pay dan PayPal. Pencurian kredensial terjadi dengan melapisi layar palsu.
Sumber: iVerifikasi
iVerify tidak merinci bagaimana malware dikirimkan tetapi mengatakan bahwa ZeroDayRAT “adalah perangkat kompromi seluler yang lengkap.” Para peneliti memperingatkan bahwa perangkat karyawan yang disusupi dapat menyebabkan pelanggaran di perusahaan.
Bagi seorang individu, kompromi ZeroDayRAT dapat mengekspos privasi mereka dan menyebabkan kerugian finansial.
Pengguna disarankan untuk hanya mempercayai toko aplikasi resmi, Google Play di Android dan Apple Store di iOS, dan menginstal aplikasi dari penerbit terkemuka. Pengguna berisiko tinggi sebaiknya mempertimbangkan untuk mengaktifkan Mode Lockdown di iOS dan Perlindungan Lanjutan di Android.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
