Un nouveau logiciel espion surnommé ZeroDayRAT cible les smartphones Android et iOS : les pirates parlent de lui sur Telegram afin de le mettre en avant. Les chercheurs qui ont pu l’analyser le considèrent comme une boîte à outils complète permettant de compromettre les appareils mobiles. Voici ce que l’on sait à son sujet.

Un arsenal de fonctionnalités de surveillance

Selon les “publicités” diffusées sur différents canaux Telegram, le logiciel malveillant ZeroDayRAT disposerait d’un panneau de contrôle complet permettant aux opérateurs de gérer les smartphones infectés. ZeroDayRAT supporterait les versions d’Android 5 à 16, et même les versions d’iOS jusqu’à la version 26 (soit la version la plus récente).

Les chercheurs d’iVerify soulignent que ZeroDayRAT est loin d’être passif. Une fois installé, il offre à l’opérateur une vue d’ensemble sur la vie numérique de la victime. En effet, le tableau de bord développé par les cybercriminels remonte des informations précises sur l’appareil infecté (modèle, batterie, détails SIM), mais surtout, il dispose de fonctionnalités adaptées pour de l’espionnage :

• Géolocalisation en temps réel : s’il dispose des permissions nécessaires pour accéder au GPS, le malware trace la victime sur une carte Google Maps et conserve un historique complet des déplacements. Oui, vous l’aurez compris, il vous traque littéralement.
• Surveillance des communications : le logiciel consulte et exporte l’historique des appels, les échanges SMS et l’ensemble des notifications reçues.
• Accès aux caméras et micros : plus intrusif encore, il permet l’activation à distance des caméras (avant et arrière) et du microphone pour capter des flux en direct, aussi bien avec l’audio que la vidéo, et il peut aussi enregistrer l’écran de l’utilisateur.

La copie d’écran partagée par iVerify met aussi en avant la présence d’un onglet “Accounts” qui laisse entendre que des informations sur les comptes sont collectées à partir de l’appareil infecté.

“Tous les comptes enregistrés sur l’appareil sont répertoriés : Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify, etc., chacun avec son nom d’utilisateur ou son adresse e-mail associé. Il s’agit en gros de tout ce dont un pirate a besoin pour tenter de prendre le contrôle d’un compte ou de lancer une attaque d’ingénierie sociale ciblée.“, précisent les chercheurs dans leur rapport.

ZeroDayRAT cible aussi vos finances

Au-delà de porter atteinte à votre vie privée grâce à ses diverses fonctionnalités d’espionnage, ZeroDayRAT est aussi capable de détourner des fonds. En effet, le malware intègre des modules spécifiques pour s’intéresser aux applications bancaires et aux portefeuilles crypto :

• Le module “Cryptocurrency Stealer” : il scanne l’appareil à la recherche d’applications comme MetaMask, Trust Wallet, Binance ou Coinbase. Il utilise une technique connue baptisée “clipboard injection” pour tenter de remplacer les adresses de portefeuilles copiées par la victime par celles de l’attaquant lors des transactions en cryptomonnaies.
• Le vol bancaire : en utilisant la technique de l’overlay (superposition d’écrans), le malware vole les identifiants des applications bancaires et des plateformes de paiement comme PayPal, Google Pay ou Apple Pay. Cela permet ensuite aux pirates de détourner des fonds.

“L’accès aux SMS complète la collecte de données : recherche complète dans la boîte de réception, possibilité d’envoyer des messages à partir du numéro de téléphone et visibilité des codes OTP entrants provenant des banques et des plateformes. L’authentification à deux facteurs par SMS est efficacement contournée.“, précisent les chercheurs.

Bien que le vecteur d’infection ne soit pas spécifié, ce type de menace rappelle l’importance d’être méfiant au moment d’installer une application sur son mobile. Surtout, il faut éviter d’utiliser des sources non fiables pour l’installation des applications. C’est probablement par ce biais que le logiciel malveillant infecte les smartphones.

Source