新型 ZeroDayRAT 移动间谍软件实现实时监控与数据窃取

网络安全研究人员披露了一款新型移动间谍软件平台，名为 ZeroDayRAT，该软件在 Telegram 上以获取敏感数据并实现对 Android 与 iOS 设备的实时监控为卖点进行宣传。

“开发者为销售、客户支持和定期更新设立了专门的渠道，买家只需通过一个入口即可访问完整运行的间谍面板，” iVerify 的安全研究员 Daniel Kelley 说。 “该平台的功能已超出普通数据收集，能够进行实时监控和直接的金融盗窃。”

ZeroDayRAT 支持 Android 5‑16 版本和 iOS 最高 26 版本。该恶意软件通常通过社会工程或伪装的应用市场进行传播，恶意二进制文件由提供给买家的构建工具生成，并配有可自行部署在服务器上的在线面板。

一旦感染设备，操作者即可通过自托管面板查看包括型号、位置、操作系统、电池状态、SIM 卡、运营商信息、应用使用情况、通知以及最近短信预览等全部细节。这些信息帮助威胁行为者对受害者进行画像，进一步了解其联系人和常用应用。

面板还能提取当前 GPS 坐标并在 Google 地图上标记，同时记录受害者历次位置历史，形成完整的间谍追踪功能。

“账户标签是最具问题的面板之一，” Kelley 补充道。 “设备上注册的每个账户都会被枚举：Google、WhatsApp、Instagram、Facebook、Telegram、Amazon、Flipkart、PhonePe、Paytm、Spotify 等，均显示对应的用户名或邮箱。”

ZeroDayRAT 还具备记录键盘、收集短信（包括一次性密码）以绕过双因素认证的能力，并支持实时摄像头视频流和麦克风音频传输，使攻击者能够远程监控受害者。

为了实现金融盗窃，恶意软件内置了窃取组件，扫描 MetaMask、Trust Wallet、Binance、Coinbase 等钱包应用，并将复制到剪贴板的钱包地址替换为攻击者控制的钱包，从而劫持交易。

此外，还存在针对 Apple Pay、Google Pay、PayPal 以及印度的 PhonePe 等移动支付平台的银行窃取模块，利用统一支付接口（UPI）实现跨行点对点或商户支付的劫持。

“综合来看，这是一套完整的移动妥协工具包，过去只有国家级力量或定制漏洞才能实现，如今却在 Telegram 上公开出售，” Kelley 说。 “单一买家即可通过浏览器标签获取目标的位置信息、消息、财务、摄像头、麦克风和键盘记录。跨平台支持和持续更新使其对个人和组织构成日益增长的威胁。”

ZeroDayRAT 与近年来通过钓鱼或渗透官方应用市场传播的多款移动恶意软件相似，攻击者不断寻找绕过 Apple 与 Google 安全防护的手段，诱骗用户安装恶意应用。

针对 iOS 的攻击通常利用企业级配置文件功能，使组织能够在不经过 App Store 的情况下安装应用。通过将间谍、监控和信息窃取功能打包出售，降低了技术门槛，进一步凸显移动威胁的复杂性和持久性。

近期出现的多起移动恶意软件和诈骗活动也与该商业间谍平台的出现相呼应：

• 一场 Android 远程访问木马（RAT）活动利用 Hugging Face 托管恶意 APK，用户下载看似无害的启动器后被诱导安装更新，从而下载并执行恶意文件。
• Arsink RAT 使用 Google Apps Script 将媒体和文件导出至 Google Drive，并通过 Firebase 与 Telegram 实现 C2，主要在埃及、印尼、伊拉克、也门和土耳其传播。
• 名为 All Document Reader 的文档阅读器被标记为 Anatsa（又名 TeaBot、Toddler）银行木马的安装器，在 Google Play 上累计下载超过 5 万次后被下架。
• deVixor 银行木马自 2025 年 10 月起针对伊朗用户，通过冒充汽车企业的钓鱼网站进行分发，具备远程触发的勒索模块，并使用 Firebase 与 Telegram 进行指令下发。
• ShadowRemit 活动伪装成 Google Play 应用页面，推广未经授权的跨境汇款 APK，诱导受害者将资金转入指定账户并提供截图以完成验证。
• 针对印度用户的 Android 恶意软件活动利用政府服务和官方数字平台的信任，通过 WhatsApp 分发恶意 APK，实现数据窃取、持久控制和加密货币挖矿。
• Triada 木马通过伪装成 Chrome 浏览器更新的钓鱼页面，引导用户下载托管在 GitHub 的恶意 APK，并接管长期验证的广告商账户进行重定向。
• WhatsApp 相关诈骗利用视频通话冒充银行或 Meta 支持，诱导受害者共享屏幕并安装 AnyDesk、TeamViewer 等远程访问软件窃取数据。
• GhostChat 伪装为约会聊天应用，针对巴基斯坦用户进行间谍活动，同时伴随 ClickFix DLL 负载和 WhatsApp 设备链接攻击 GhostPairing。
• Phantom 系列 Android 点击欺诈木马利用 TensorFlow.js 自动识别并交互广告元素，部分通过 WebRTC 将虚拟浏览器画面实时流向攻击者服务器，分发渠道包括小米 GetApps 与其他第三方应用商店。
• NFCShare 家族通过伪装 Deutsche Bank 更新文件（deutsche.apk）读取 NFC 卡信息并通过 WebSocket 发送，曾在 2025 年 11 月与 SuperCard X 活动关联。

Group‑IB 上月发布的报告称，NFC 支持的 Android “tap‑to‑pay” 恶意软件在 Telegram 的中文黑产社区中大量出现，攻击手法亦被称为 “Ghost Tap”。

该新加坡总部的网络安全公司披露，仅一家 POS 供应商在 2024 年 11 月至 2025 年 8 月期间就记录了超过 35.5 万美元的非法交易，全球的“金钱骡子”也在使用预装受感染卡片的移动钱包完成消费。

Group‑IB 进一步指出，市场上主要有 TX‑NFC、X‑NFC 与 NFU Pay 三大 Android NFC 中继应用供应商，其中 TX‑NFC 自 2025 年 1 月起在 Telegram 上已拥有超过 2.5 万订阅者，X‑NFC 与 NFU Pay 分别拥有约 5 千和 600 名订阅者。

Group‑IB 表示，自 2024 年 5 月至 2025 年 12 月期间，检测到的 NFC 相关恶意软件数量持续上升，且新旧家族并存，说明该技术正被越来越多的诈骗团伙所采用。