ZeroDayRAT: la nouvelle ère des logiciels espions mobiles qui transforme votre téléphone en une caméra, un microphone et une arme de fraude

Détails sur une nouvelle plate-forme de logiciels espions mobiles appelée ZeroDayRAT sont récemment venus à la lumière, qui est ouvertement commercialisé sur les canaux Telegram comme un outil prêt à espionner les téléphones Android et iPhone. Les chercheurs en sécurité ont suivi les annonces et le fonctionnement du produit: les développeurs non seulement vendent le binaire malveillant, mais offrent également un constructeur et un panneau Web que l'acheteur peut déployer sur leur propre serveur, ainsi que le support et les mises à jour périodiques. Dans la pratique, c'est une suite qui transforme un mobile compromis en une source de données continue et une caméra à distance et microphone contrôlable à partir d'un navigateur. Pour une explication technique et une analyse complète, voir le rapport d'iVerify documentant la menace : iVerify - Détruire ZeroDayRAT.

ZeroDayRAT, selon l'analyse disponible, prend en charge une large gamme de versions d'Android et d'iOS, et son vecteur d'entrée le plus commun ne sont pas des exploits sophistiqués mais des tactiques d'ingénierie sociale: les fausses applications dans les magasins officieux, les pages de téléchargement trompeuses, ou les installateurs qui posent comme utilitaires légitimes. Une fois installé, le logiciel rend compte au panneau de l'agresseur de toutes les informations sur l'appareil - modèle, système d'exploitation, état de la batterie, opérateur et détails SIM - et offre des vues préalables des messages, de l'utilisation de l'application et d'autres métadonnées qui permettent un profil détaillé de la victime.

Outre l'enregistrement des métadonnées, ZeroDayRAT intègre des fonctions intrusives de surveillance en temps réel: localisation GPS sur cartes, historique de localisation, transmission par caméra et microphone, et journal des clés. Cette combinaison fait du téléphone un outil d'espionnage permanent, pas seulement un vecteur pour le vol d'identités. Le panneau énumère également les comptes enregistrés sur l'appareil - le courrier et les réseaux sociaux - ce qui permet à l'attaquant d'identifier plus facilement des services précieux pour continuer à exploiter ou monétiser les informations volées.

La gamme de capacités comprend également des composants conçus pour la fraude financière. Un module détecte les applications portefeuille et modifie les adresses copiées dans le presse-papiers pour rediriger les transferts vers les comptes contrôlés par l'attaquant. Un autre module est axé sur les services de paiement mobile et les banques, en ciblant les plateformes populaires, y compris les applications locales avec une large adoption dans certaines régions. Dans le cas de l'Inde, par exemple, les chercheurs ont noté que les logiciels malveillants visent à permettre la fraude liée à l'UPI - l'infrastructure de paiement instantanée -; pour comprendre que le système, la documentation de l'IPU sur l'IPU peut être consultée: NPCI - UPI.

Dans l'écosystème criminel actuel, ZeroDayRAT ne se présente pas isolément; il est encadré dans une vague de familles de malwares et de campagnes qui ont exploité différents itinéraires de distribution et abusé des services légitimes pour loger ou répartir les charges utiles. Ces dernières semaines, par exemple, une campagne a été publiée pour que Hugging Face distribue des chargeurs malveillants qui ont ensuite téléchargé un APK demandant des permis d'accessibilité pour contrôler l'appareil. Cette affaire et sa méthodologie ont été décrites par Bitdefender : Bitdefender - Campagne RAT Android.

La prolifération des outils de télécommande et Trojan pour Android a augmenté et diversifié ses méthodes. Des familles comme Arsink ont combiné des services cloud et des plateformes de messagerie pour commander et contrôler, tandis que d'autres Trojans ont réussi à se faufiler dans les magasins officiels ou dans les annonces vérifiées par des campagnes de dumping. Zimperium et d'autres laboratoires ont des variantes documentées utilisant Google Apps Script, Firebase et Telegram canaux pour orchestrer l'exfiltration et l'administration à distance: Zimperium - Arsink.

Le fait que des kits d'intrusion complets soient vendus comme produit pose un problème social et technique. Avant, un certain niveau de sophistication axé sur les exploits de zéro jour ou l'infrastructure sur mesure était nécessaire pour obtenir une surveillance à distance persistante; aujourd'hui, un acheteur avec des ressources modestes peut acquérir une solution qui intègre l'espionnage, le vol de titres de compétence et la capacité de détourner de l'argent. Ce changement réduit la barrière d'entrée et multiplie les acteurs avec la capacité de causer des dommages.

Le phénomène ne se limite pas aux logiciels espions traditionnels : des campagnes ont vu le jour qui utilisent des applications inoculées pour agir comme installateurs de chevaux de Troie de banque, des réseaux de faux envois de fonds qui recrutent des mules et des outils NFC qui permettent des transactions de paiement clones ou relais avec le téléphone. Des rapports récents d'entreprises telles que Group-IB et CTM360 décrivent comment les attaquants ont commercialisé des applications et des services pour faciliter la fraude de paiement et la collecte d'argent, montrant que certains marchés de Télégram concentrent des milliers d'abonnés intéressés par ces solutions : Groupe-IB - Ghost Taped et CTM360 - ShadowRemit.

Des cas ont également été détectés dans lesquels des applications apparemment légitimes téléchargées dans les magasins officiels ont servi de portes d'entrée pour les logiciels malveillants bancaires, avec des milliers de téléchargements avant d'être retirées. Ces incidents soulignent qu'il ne suffit pas de regarder uniquement les sources en dehors des écosystèmes officiels : les agresseurs exploitent la confiance et la chaîne de distribution. Des exemples et des analyses d'applications malveillantes dans les magasins ou en répondant aux pages Play Store ont été publiés par plusieurs sociétés de sécurité.

Face à ce scénario, la partie préventive concerne à la fois les fabricants et les app stores et l'utilisateur. Gardez le système d'exploitation et les applications à jour, évitez d'installer APKS d'origines non vérifiées, examinez les permissions que vous demandez une application et les messages de méfiance qui vous exhortent à installer des "mises à jour" en dehors des canaux officiels reste basique. Pour les environnements à haut risque, il est recommandé d'utiliser des mécanismes d'authentification plus robustes que les SMS - comme les clés physiques ou les applications d'authentification - et d'activer des alertes d'activité inhabituelles sur les comptes sensibles. Apple documente comment fonctionne l'approvisionnement des entreprises et pourquoi il peut être un vecteur de risque lorsqu'il est abusé: Apple - Installation de profils sur les appareils. Google propose également des guides sur le fonctionnement de Play Protect et comment réduire les risques sur Android: Google Play Protéger.

La réponse technologique et juridique doit également évoluer. Les indicateurs techniques et les tableaux de commandement publiés par les équipes d'intervention peuvent aider à détecter les artefacts connus, mais l'économie de la criminalité - désormais rendue possible par les magasins de Telegram et d'autres plateformes - exige des mesures coordonnées entre les fournisseurs de services en nuage, les fabricants de systèmes d'exploitation, les plateformes de messagerie et les forces de sécurité. Des rapports et analyses publics indépendants, comme iVerify, Bitdefender ou Group-IB, sont des éléments clés pour que les administrateurs et les journalistes comprennent et diffusent la menace : iVérifier, Bitdefender, Groupe IB.

Si vous êtes un utilisateur, la recommandation pratique est de ne pas baisser votre garde: vérifier la source des applications, les liens de méfiance reçus par les messages qui demandent à installer un logiciel, examiner régulièrement la liste des applications installées et les permis accordés, et utiliser une protection supplémentaire pour vos comptes financiers. Si vous soupçonnez qu'un appareil peut être compromis, il est sage de l'isoler des réseaux sensibles, de modifier les mots de passe d'un appareil propre et de solliciter l'aide de professionnels ou de fournisseurs de sécurité. Des rapports documentant des cas et des techniques spécifiques peuvent vous aider à identifier les modèles et à adopter des défenses plus précises; pour des lectures supplémentaires sur des campagnes récentes, vous pouvez consulter des analyses telles que celles de Zimpérium, Sécurité et AdEx - Triada.

La conclusion est claire: la menace mobile n'est plus seulement une question d'applications envahissantes isolées, mais un marché d'outils où la surveillance, le vol et la fraude sont vendus. Comprendre comment ces plateformes fonctionnent et mettre en œuvre des mesures d'hygiène numérique de base est aujourd'hui la meilleure défense pour les utilisateurs et les organisations.