文章总结: ZeroDayRAT是iVerify于2026年2月披露的一款跨平台移动监控与远程控制体系,通过Telegram公开销售并提供浏览器端控制面板。该恶意软件依赖社会工程而非漏洞利用进行感染,具备设备信息收集、账户枚举、短信拦截、GPS追踪、实时屏幕监控、键盘记录、远程启用摄像头麦克风、加密货币和银行凭证窃取等全方位监控能力。其将国家级间谍能力商品化,对个人隐私和企业安全构成严重威胁,警示组织需加强移动端威胁检测并减少对短信验证的依赖。 综合评分: 85 文章分类: 恶意软件,移动安全,威胁情报,安全运营,数据安全
“教科书式跟踪软件”ZeroDayRAT的技术画像与安全警示
原创
网空闲话 网空闲话
网空闲话plus
2026年2月11日 07:34 北京
在移动恶意软件长期以“信息窃取”“银行木马”等单一用途存在的背景下,ZeroDayRAT的出现并不只是又一个新家族,而是一次能力层面的整合与重组。根据移动安全厂商iVerify于2026年2月9日披露的研究,ZeroDayRAT更接近一个完整的跨平台移动监控与远程控制体系,而非传统意义上的恶意样本。
一、平台化与商品化:并非“地下成品”,而是持续运营的服务
ZeroDayRAT通过Telegram公开销售,开发者运营着明确分工的频道体系,涵盖销售、客户支持和功能更新。购买者获得的是一个浏览器端控制面板,而非零散工具。这种模式意味着其开发、维护和功能扩展是持续进行的,而不是一次性投放。
从研究披露的信息看,攻击者几乎不需要技术背景即可使用该平台,这一点显著降低了进入门槛,也直接扩大了潜在使用群体。
二、感染方式:不依赖漏洞,完全依赖社会工程
ZeroDayRAT的初始感染并未展示复杂的漏洞利用能力。Android设备通过恶意APK,iOS设备通过payload完成植入,最常见手段是短信钓鱼(smishing),即诱导受害者点击链接并安装伪装成合法应用的程序。
此外,钓鱼邮件、虚假应用商店,以及通过WhatsApp或Telegram传播的链接,同样被证实是有效途径。这类传播方式的关键不在技术复杂度,而在规模和成功率。
三、设备“概览”能力:用户画像在第一屏即已成型
一旦设备被感染,控制面板的“概览”页面就已经提供了高度敏感的信息集合:设备型号、操作系统版本、电量、国家地区、锁定状态、SIM卡与运营商信息、双卡号码、应用使用时长、实时活动时间线以及最近短信预览。
这些信息足以让操作者在极短时间内判断目标的身份属性、生活节奏和通信模式。正如研究者所指出,这已经构成了进行账户接管或定向社会工程攻击所需的基础条件。
四、账户与通信控制:MFA在移动端的系统性失效
ZeroDayRAT会枚举设备上注册的所有账户,包括主流社交平台、电商平台、支付和服务类账号,并关联用户名或邮箱信息。这一功能直接降低了后续攻击的筛选成本。
更关键的是对短信的完全控制能力:攻击者不仅可以读取所有短信内容,还可以使用受害者的号码发送短信,并实时拦截银行或平台发送的一次性验证码。这意味着基于短信的多因素身份验证在该威胁模型下基本失效。
五、实时监控:从数字行为延伸至物理世界
与许多仅停留在数据窃取层面的移动恶意软件不同,ZeroDayRAT提供了完整的实时监控能力。GPS模块可持续记录并展示历史轨迹;通知捕获功能无需打开任何应用,即可实时获取WhatsApp、Telegram、Instagram等应用的通知内容。
在此之上,攻击者还能远程启用摄像头、麦克风和屏幕录制功能。这使得攻击行为不再局限于“获取数据”,而是具备了持续跟踪和环境监控的能力,这也是其被研究人员称为“教科书式跟踪软件”的原因。
六、键盘记录与同步视角:行为与输入的完全暴露
ZeroDayRAT内置的键盘记录器可捕获所有输入行为,并附带应用上下文和毫秒级时间戳。配合控制面板中的实时屏幕预览,攻击者可以在受害者操作设备的同时,看到其输入内容与操作路径。
这一能力在账户接管、金融诈骗和身份冒用场景中具有极高价值,也进一步削弱了用户对移动设备安全边界的传统认知。
七、直接牟利模块:从监控走向资产转移
在控制能力确立后,ZeroDayRAT将攻击目标直接指向经济收益。其加密货币窃取模块会识别主流钱包应用,记录钱包标识和余额,并通过剪贴板地址注入,将转账地址替换为攻击者控制的地址。
银行窃取模块则针对网银、UPI平台以及Apple Pay、PayPal等服务,通过覆盖攻击捕获凭证。传统金融资产与加密资产在同一控制体系下被同时暴露,这是其风险等级显著高于普通移动木马的核心原因之一。
八、能力意义:国家级功能的下沉与外溢
研究人员指出,ZeroDayRAT所整合的能力组合,在过去往往只出现在高成本、定向的情报行动或商业间谍软件中。如今,这类能力被打包、定价并面向市场出售,形成了国家级技术向犯罪经济下沉的典型案例。
尽管其售价高于普通恶意工具,但仍吸引了有资源的经济型攻击者、私家侦探等群体,这意味着受害面并不会局限于高价值目标。
九、风险警示与防范要点
对个人而言,ZeroDayRAT意味着隐私、位置、通信和资产的全面暴露;记者、活动人士和家庭暴力受害者等群体尤为脆弱。对企业来说,被感染的员工设备可能成为凭证窃取和账户接管的入口,尤其是在BYOD政策宽松、缺乏移动终端安全能力的环境中。
研究明确指出,移动设备安全已不能仅依赖传统设备管理手段。组织需要将移动端威胁检测、取证和响应纳入整体安全体系,同时减少对短信作为关键验证机制的依赖,并提升对社会工程攻击的防范意识。
结语
ZeroDayRAT并不是一次孤立事件,而是一个具有代表性的样本:它展示了移动终端在现实威胁环境中可以被控制到何种程度。当智能手机成为身份、通信和资产的核心载体,这类高度整合、商品化的移动监控平台,其风险已经不再是“未来问题”,而是正在发生的现实。
注:时间仓促,差错难免。详情参见参考文献2。
参考资源
1、https://www.darkreading.com/threat-intelligence/zerodayrat-brings-commercial-spyware-to-mass-market
2、https://iverify.io/blog/breaking-down-zerodayrat—new-spyware-targeting-android-and-ios
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《“教科书式跟踪软件”ZeroDayRAT的技术画像与安全警示》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论