بدافزار ZeroDayRAT چیست و چرا باید مراقب بود؟!

بدافزار ZeroDayRAT چرا بسیار نگران‌کننده است؟ از بدافزار جاسوسی ZeroDayRAT چقدر شناخت دارید؟

این مقاله، گزارشی تخصصی از Daniel Kelley، پژوهشگر تهدیدات سایبری، دربارۀ یکی از نگران‌کننده‌ترین بدافزارهای موبایلی شناسایی‌شده در سال ۲۰۲۶ میلادی است؛ بدافزار جاسوسی ZeroDayRAT. ابزاری که برخلاف بسیاری از حملات پیچیده، اکنون به‌سادگی در تلگرام خریدوفروش می‌شود و به مهاجمان امکان کنترل کامل گوشی‌های اندرویدی و آیفون را می‌دهد؛ از شنود و نظارت لحظه‌ای گرفته تا سرقت مستقیم مالی!

اگر نگران آلودگی دستگاه خود به این بدافزار هستید، تأخیر نکنید. نشت اطلاعات شخصی و مالی می‌تواند جبران‌ناپذیر باشد. برای بررسی تخصصی وضعیت دستگاه خود می‌توانید همین حالا با تیم تخصصی وکیل سایبری مشورت کنید: ثبت درخواست مشاوره فوری

اگر تصور می‌کنید گوشی شما صرفاً یک وسیلۀ شخصی است، این گزارش دیدگاهتان را تغییر خواهد داد. آنچه در ادامه می‌خوانید صرفاً یک تحلیل فنی نیست؛ بلکه هشداری جدی دربارۀ تهدیدی واقعی است که می‌تواند حریم خصوصی، حساب‌های بانکی و امنیت دیجیتال شما را هدف بگیرد. خواندن این مطلب برای هر کاربر موبایل، یک ضرورت امنیتی است؛ نه یک انتخاب!

به‌گزارش محققان شرکت iVerify، در تلگرام از یک هفته پیش، یک بدافزار جاسوسی بسیار پیشرفتۀ موبایل با نام ZeroDayRAT برای فروش، تبلیغ می‌شود که کنترل کامل از راه دور دستگاه‌های آلوده اندروید و iOS را فراهم می‌کند!

بدافزار ZeroDayRAT چیست؟

ما به‌تازگی یک پلتفرم جدید جاسوس‌افزار موبایلی با نام ZeroDayRAT را شناسایی کرده‌ایم که به‌صورت آشکار از طریق تلگرام فروخته می‌شود (نخستین فعالیت مشاهده‌شده در ۲ فوریه). توسعه‌دهندۀ این ابزار کانال‌های اختصاصی برای فروش، پشتیبانی مشتریان و انتشار به‌روزرسانی‌های منظم راه‌اندازی کرده است؛ به‌گونه‌ای که خریداران با یک نقطه دسترسی واحد به یک پنل جاسوس‌افزاری کاملاً عملیاتی دست پیدا می‌کنند.

خوب است بدانید:
تفاوت های بدافزار و ویروس چیست؟

از طریق این پنل، اپراتور می‌تواند کنترل کامل و ازراه‌دور یک دستگاه اندرویدی یا iOS را در اختیار بگیرد. دامنۀ پشتیبانی اعلام‌شده گسترده است: اندروید از نسخۀ ۵ تا ۱۶ و iOS تا نسخۀ ۲۶، شامل جدیدترین مدل‌ها. نکتۀ نگران‌کننده اینجاست که استفاده از این پلتفرم نیازمند تخصص فنی نیست. این ابزار (بدافزار جاسوسی ZeroDayRAT) فراتر از جمع‌آوری معمول داده‌ها عمل کرده و امکان نظارت لحظه‌ای و حتی سرقت مستقیم مالی را فراهم می‌کند.

روش‌های آلودگی دستگاه به بدافزار جاسوسی ZeroDayRAT

برای آلوده‌سازی یک دستگاه به بدافزار جاسوسی ZeroDayRAT ، اپراتور باید فایل مخرب را روی آن نصب کند؛ در اندروید به‌صورت APK و در iOS به‌شکل یک پیلود یا پروفایل مخرب. رایج‌ترین روش انتشار بدافزار ZeroDayRAT در میان کاربران، Smishing یا فیشینگ پیامکی است: قربانی پیامکی حاوی لینک دریافت می‌کند، فایلی که ظاهری مشروع دارد دانلود می‌کند و آن را نصب می‌کند. ایمیل‌های فیشینگ، فروشگاه‌های جعلی اپلیکیشن، یا لینک‌های ارسال‌شده از طریق واتساپ و تلگرام نیز از دیگر مسیرهای متداول آلودگی هستند.

این روش‌ها از نظر روان‌شناختی بسیار مؤثرند. کاربران اغلب به پیام‌هایی که به خدمات بانکی، بسته‌های پستی، یا هشدارهای امنیتی اشاره دارند اعتماد می‌کنند. مهاجمان نیز دقیقاً از همین نقاط ضعف بهره می‌برند: جعل هویت سازمان‌ها، طراحی رابط کاربری مشابه برنامه‌های معتبر، و استفاده از دام‌های مهندسی اجتماعی.

نمای کلی دستگاه و پروفایل‌سازی کاربر با بدافزار ZeroDayRAT

پس از آلودگی دستگاه به بدافزار جاسوسی ZeroDayRAT، نخستین بخشی که اپراتور مشاهده می‌کند «تب نمای کلی» است. این صفحه اطلاعات گسترده‌ای را در یک نگاه ارائه می‌دهد: مدل دستگاه، نسخۀ سیستم‌عامل، وضعیت باتری، کشور، وضعیت قفل، اطلاعات سیم‌کارت و اپراتور، شماره‌های دو سیم‌کارت، الگوی استفاده از اپلیکیشن‌ها بر اساس زمان، خط زمانی فعالیت‌ها و پیش‌نمایش پیامک‌های اخیر.

همین اطلاعات برای ساخت یک پروفایل رفتاری دقیق کافی است. مهاجم می‌تواند بفهمد کاربر با چه افرادی در ارتباط است، بیشترین زمان را در کدام اپلیکیشن‌ها می‌گذراند، چه زمانی فعال است و از چه شبکه‌ای استفاده می‌کند. با پیمایش بیشتر، پیام‌های رهگیری‌شده از سرویس‌های بانکی، اپراتورها و مخاطبان شخصی نمایش داده می‌شود.

این سطح از دید، برای حملات هدفمند بسیار ارزشمند است. مهاجم می‌تواند زمان مناسب برای فریب کاربر را انتخاب کند، پیام‌هایی با محتوای شخصی‌سازی‌شده ارسال کند یا حتی سناریوهای پیچیده مهندسی اجتماعی طراحی نماید!

دسترسی به موقعیت مکانی، اعلان‌ها و حساب‌ها در بدافزار ZeroDayRAT

در تب‌های دیگر پنل، هر جریان داده به‌طور جداگانه ارائه می‌شود. مختصات GPS دستگاه استخراج و روی نقشه نمایش داده می‌شود، همراه با تاریخچۀ موقعیت‌ها. مهاجم نه‌تنها مکان فعلی، بلکه مسیرهای رفت‌وآمد و الگوهای حرکتی کاربر را نیز مشاهده می‌کند.

اعلان‌ها نیز به‌صورت لحظه‌ای رهگیری می‌شوند: نام برنامه، عنوان، محتوا و زمان ثبت. پیام‌های واتساپ، اعلان‌های اینستاگرام، تماس‌های ازدست‌رفته، به‌روزرسانی‌های تلگرام، هشدارهای سیستمی آن هم بدون نیاز به باز کردن هیچ اپلیکیشنی! می‌توان گفت که مهاجم دید کاملی نسبت به فعالیت‌های دستگاه دارد.

یکی از خطرناک‌ترین بخش‌ها «تب حساب‌ها» است. تمامی حساب‌های ثبت‌شده روی دستگاه فهرست می‌شوند: سرویس‌های گوگل، شبکه‌های اجتماعی، فروشگاه‌ها، برنامه‌های پرداخت و غیره. این اطلاعات پایه‌ای برای تصاحب حساب‌ها یا اجرای حملات فریب هدفمند فراهم می‌کند.

رهگیری پیامک و دور زدن احراز هویت دومرحله‌ای در بدافزار جاسوسی ZeroDayRAT

دسترسی کامل به پیامک‌ها شامل جست‌وجوی صندوق ورودی، ارسال پیام از شماره قربانی و مشاهده کدهای OTP است. این یعنی احراز هویت دومرحله‌ای مبتنی بر پیامک عملاً بی‌اثر می‌شود. مهاجم می‌تواند به حساب‌های بانکی، ایمیل یا شبکه‌های اجتماعی دسترسی پیدا کند.

این مسئله نشان می‌دهد که اتکا صرف به پیامک برای امنیت حساب‌ها دیگر کافی نیست. روش‌های پیشرفته‌تر مانند توکن‌های سخت‌افزاری یا اپلیکیشن‌های احراز هویت امن‌ترند.

خطر دیگر بدافزار جاسوسی ZeroDayRAT: نظارت زنده و Keylogging

تا اینجا، داده‌ها به‌صورت منفعل جمع‌آوری می‌شدند. اما تب «نظارت» به دسترسی زنده می‌رسد: پخش زنده دوربین، ضبط صفحه و دسترسی به میکروفن. همراه با رهگیری GPS، مهاجم می‌تواند همزمان ببیند، بشنود و مکان‌یابی کند.

Keylogger نیز تمامی ورودی‌های کاربر را با جزئیات ثبت می‌کند: لمس‌ها، کلیدها، حرکات، باز شدن برنامه‌ها. ترکیب این داده‌ها امکان سرقت رمزها، اطلاعات بانکی و حتی محتوای خصوصی را فراهم می‌کند.

سرقت مالی و سرقت ارزهای دیجیتال در بدافزار ZeroDayRAT

در تب «Stealer»، تمرکز بر سرقت مستقیم مالی است. ماژول سرقت رمزارز کیف‌پول‌ها را شناسایی کرده، موجودی را ثبت می‌کند و حتی آدرس‌های کپی‌شده را در کلیپ‌بورد جایگزین می‌کند.

همچنین بخوانید:
سرقت ارز دیجیتال در سال ۲۰۲۴: بررسی گزارش رسمی چینالیسس

ماژول سرقت بانکی نیز برنامه‌های بانکی و پرداخت را هدف می‌گیرد و با حملات Overlay اطلاعات ورود را استخراج می‌کند.

بدافزار جاسوسی ZeroDayRAT: تهدیدی ماندگار!

آنچه ZeroDayRAT ارائه می‌دهد، یک کیت کامل نفوذ موبایلی است — ابزاری که پیش‌تر نیازمند سرمایه‌گذاری عظیم دولتی بود. اکنون هر خریدار می‌تواند کنترل کامل یک دستگاه را از طریق مرورگر در اختیار بگیرد.

برای سازمان‌ها، یک دستگاه آلوده می‌تواند نقطۀ ورود به شبکه باشد. برای کاربران، به‌معنای از دست رفتن کامل حریم خصوصی و خطر مالی مستقیم است.

چرا این تهدید اهمیت دارد؟

موبایل‌ها امروز مرکز زندگی دیجیتال ما هستند: بانکداری، ارتباطات، هویت دیجیتال، داده‌های کاری. نفوذ به موبایل یعنی دسترسی به همه‌چیز.

برخلاف تصور رایج، دستگاه‌های iOS نیز مصون نیستند. اگرچه محدودیت‌های اپل شدیدتر است، اما مهندسی اجتماعی همچنان مؤثر است.

نشانه‌های احتمالی آلودگی به بدافزار ZeroDayRAT چیست؟

مصرف غیرعادی باتری

افزایش ترافیک داده

گرم شدن دستگاه

اعلان‌های مشکوک

رفتار غیرعادی برنامه‌ها

راهکارهای رفع خطر بدافزار ZeroDayRAT چیست؟

1. نصب برنامه فقط از منابع رسمی

2. عدم کلیک روی لینک‌های ناشناس

3. استفاده از احراز هویت امن‌تر

4. به‌روزرسانی سیستم‌عامل

5. استفاده از ابزارهای امنیت موبایل

جمع‌بندی بدافزار ZeroDayRAT

بدافزار جاسوسی ZeroDayRAT نمونه‌ای از موج جدید بدافزارهای تجاری‌شده است: پیشرفته، کاربرپسند برای مهاجم، و بسیار مخرب.

امنیت موبایل دیگر یک گزینه نیست، یک ضرورت حیاتی است. کاربران و سازمان‌ها باید دیدگاه خود را نسبت به تهدیدات موبایلی بازتعریف کنند. در دنیایی که گوشی هوشمند به کلید زندگی دیجیتال تبدیل شده، حفاظت از آن به‌معنای حفاظت از هویت، دارایی و حریم خصوصی است.

اگر احساس می‌کنید که دستگاه شما نیز به این بدافزار آلوده شده است، برای مقابله با پیامدهای امنیتی و حل مشکل، همین حالا با تیم تخصصی وکیل سایبری تماس بگیرید: درخواست مشاوره فوری