文章总结： 本文介绍名为ZeroDayRAT的新型跨平台木马，可同时控制Android和iOS设备。该木马通过钓鱼传播，具备设备全景监控、GPS追踪及实时音视频采集功能。其核心危害在于金融盗窃，能劫持加密货币钱包剪贴板并通过覆盖层攻击窃取银行凭据，甚至绕过短信验证码，对用户财产安全构成严重威胁。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报,社会工程学

集远控、间谍、后门功能于一身,新型木马可同时控制Android和iOS系统

原创

suntiger suntiger

二进制空间安全

2026年2月17日 10:53 内蒙古

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

木马背景

#

该木马是今年2月初刚面世,目前正在Telegram进行公开销售,被命名为:ZeroDayRAT。该木马完全以傻瓜化方式控制受害者移动设备,不需要使用者懂技术,可以对受害者的Android或iOS设备进行完全远程控制,支持从Android 5到16,以及最高到iOS 26(包括iPhone 17 Pro)。不仅可以对设备数据进行窃取,还具备实时监控和金融盗窃的能力。

下图显示了两台中招的位于印度的Android手机和位于美国的iPhone Pro 17手机,如图:

#

要让设备被感染，操作者需要把恶意程序装到设备上：在Android上是APK，在iOS 上是对应的Payload。最常见的方式是短信钓鱼（Smishing）：受害者收到带链接的短信，点击后下载看似正规的应用并安装。通过钓鱼邮件、假冒应用商店，以及在社交媒体上分享的链接, 同样可以完成感染。

设备概览与用户画像

设备一旦被感染，操作者首先看到的就是“概览”标签页。设备型号、操作系统、电量、所在国家、锁屏状态、SIM 卡与运营商信息、双卡号码、按时间划分的应用使用情况、实时活动时间线，以及最近短信预览，都会集中显示在同一屏幕上。

下图是一个被攻陷的Android手机的设备概览画面:

仅凭这一屏，就能分析受感染用户: 和谁联系、最常用哪些应用、活跃时间以及所连网络。向下滚动可看到从银行、运营商和个人联系人等处拦截到的消息。概览只是入口，面板其他部分会进一步展示更详细的设备信息。

下图是在概览标签中看到被拦截的短信:

位置、通知与账户访问

除概览外，每种数据都有独立标签页。GPS坐标会被提取并显示在嵌入的 Google地图中，并带有位置历史，操作者既能查看受感染用户当前位置，也能查看其历史轨迹。

下图是一个被攻破设备的实时GPS跟踪:

通知会被单独抓取，包括应用名称、标题、内容和时间戳。例如：WhatsApp 消息、Instagram 通知、未接来电、Telegram更新、YouTube 提醒、系统事件等。攻击者无需打开任何应用，就能被动地看到手机上几乎全部动态。

下图是一个跨所有应用的实时通知捕获:

其中问题更严重的一个面板是「账户」标签页。设备上登录的每个账户都会被列出来：Google、WhatsApp、Instagram、Facebook、Telegram、Amazon、Flipkart、PhonePe、Paytm、Spotify 等，并附带对应的用户名或邮箱。这几乎就是攻击者进行账户接管或定向社会工程所需的一切信息。

下图是所有被攻陷设备上注册的账号信息:

短信访问使数据收集更完整:可对收件箱进行全文搜索、以该手机号码发送短信，并能查看来自银行和各类平台的入站OTP验证码。基于短信的双因素认证（2FA）实际上被绕过。

实时监控与键盘记录

以上内容介绍的都是被动数据收集,监控标签页可以实现实时的物理访问：实时摄像头流媒体（前后）、屏幕录制和麦克风画面。结合 GPS 追踪，可以同时观察、监听并定位目标。下图是展示的摄像头、屏幕录制和麦克风:

除了监控工具外，键盘记录器还能捕捉每一个输入，包含应用上下文和毫秒时间戳：生物识别解锁、手势、按键、应用启动。屏幕右侧会显示实时屏幕预览，攻击者可以看到目标的作和输入内容。

下图是键盘记录器输出与实时屏幕预览:

金融盗窃

在完成所有这些权限获取之后，窃取器模块就会进入直接的金融盗窃阶段。加密货币窃取组件会扫描设备中是否存在诸如 MetaMask、Trust Wallet、Binance、Coinbase 等钱包应用，并记录对应的钱包 ID 和余额信息。同时它还会执行剪贴板地址注入攻击：当用户复制一个钱包地址准备转账时，恶意程序会在后台悄悄把该地址替换为攻击者的钱包地址，从而使原本发往正常收款人的转账被重定向到攻击者账户中。

下图是加密货币窃取器正在检测钱包应用并注入剪贴板地址:

一个独立的银行窃取模块专门针对网上银行应用、像PhonePe 和 Google Pay 这样的 UPI 支付平台，以及 Apple Pay、PayPal 等支付服务，通过覆盖层（Overlay）攻击来窃取用户的登录凭据。 这两个模块配合使用，使攻击者可以在同一个控制面板中，同时针对传统金融账户和加密货币资产发起攻击。

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全 suntiger suntiger《集远控、间谍、后门功能于一身,新型木马可同时控制Android和iOS系统》