ZeroDayRAT؛ جاسوس‌افزار موبایلی پیشرفته با قابلیت نظارت بلادرنگ و سرقت مالی

ماژول سرقت ارز دیجیتال و پرداخت موبایلی

ZeroDayRAT دارای ماژول Wallet Stealer (سرقت کیف پول) داخلی است که اپلیکیشن‌هایی مانند MetaMask، Trust Wallet، Binance، Coinbase را شناسایی کرده و آدرس کیف‌پول کپی‌شده در کلیپ‌بورد (Clipboard) را جایگزین می‌کند تا تراکنش به کیف‌پولی تحت کنترل مهاجم هدایت شود.

همچنین یک ماژول Bank Stealer (سرقت اطلاعات بانکی) برای هدف قرار دادن پلتفرم‌های کیف‌پول موبایلی و پرداخت آنلاین از جمله:

• Apple Pay
• Google Pay
• PayPal
• PhonePe (اپلیکیشن پرداخت دیجیتال هند با پشتیبانی از UPI)

در این بدافزار تعبیه شده است.

چرا ZeroDayRAT یک تهدید استراتژیک محسوب می‌شود؟

قبلاً دستیابی به چنین امکاناتی نیازمند سرمایه‌گذاری دولتی یا توسعه اکسپلویت اختصاصی بود، اما اکنون به صورت Spyware-as-a-Service (جاسوس‌افزار به عنوان سرویس) در تلگرام قابل خریداری است. این موضوع باعث شده حتی هکرهای کم‌تجربه بتوانند کنترل کامل دستگاه‌های Android و iOS را به دست آورند و اطلاعات مالی و شخصی کاربران را سرقت کنند.

پیامدهای کلیدی این تهدید:

• کاهش آستانه ورود مجرمان سایبری و دسترسی آسان به ابزارهای جاسوسی پیشرفته
• حملات هدفمند علیه سازمان‌ها و مدیران ارشد (C-Level)
• ریسک جدی برای کاربران مالی و کیف پول‌های رمزارزی

این تهدید نشان‌دهنده افزایش پیچیدگی و گستردگی حملات موبایلی و اهمیت محافظت فعال از دستگاه‌های تلفن همراه است.

افزایش موج بدافزارهای موبایلی در 2026 همزمان با ZeroDayRAT

همزمان با ظهور ZeroDayRAT، موج جدیدی از بدافزارهای موبایلی پیشرفته و کمپین‌های کلاهبرداری دیجیتال در سطح جهانی شناسایی شده است که شامل موارد زیر می‌شود:

• RAT اندرویدی میزبانی‌شده روی Hugging Face: توزیع APKهای مخرب از طریق اپلیکیشن‌های ظاهراً بی‌خطر.
• بدافزار Arsink با سوءاستفاده از Google Drive و Firebase: سرقت داده و کنترل کامل دستگاه از راه دور.
• تروجان بانکی Anatsa (TeaBot / Toddler) در Google Play: هدف‌گیری اطلاعات مالی و داده‌های حساس کاربران.
• بدافزار deVixor: حملات فیشینگ به کاربران ایرانی با قابلیت سرقت اطلاعات و باج‌افزار رمزنگار دستگاه.
• کمپین ShadowRemit: کلاهبرداری در انتقال پول بین‌المللی با استفاده از اپلیکیشن‌های جعلی و صفحات تقلیدی Google Play.
• حملات Triada: فیشینگ از طریق صفحات جعلی با ظاهر Chrome و سوءاستفاده از حساب‌های تبلیغاتی معتبر.
• GhostChat: بدافزار کلاهبرداری رومنس (Romance Scam) در پاکستان برای سرقت داده‌ها و کنترل دستگاه قربانی.
• Phantom: خانواده بدافزارهای اندرویدی تقلب کلیکی (click fraud) با js و WebRTC برای کلاهبرداری تبلیغاتی.
• NFCShare و Ghost Tap: سوءاستفاده از تراکنش‌های NFC و کارت‌های موبایلی در کمپین Deutsche Bank و دیگر بدافزارهای مشابه.

آمار و تاثیر مالی کمپین‌های NFC

موج بدافزارهای NFC و تراکنش‌های Tap-to-Pay در حال افزایش است و کاربران و کسب‌وکارها بیش از پیش در معرض ریسک قرار دارند.

بر اساس گزارش Group-IB، تنها یک فروشنده POS بین نوامبر 2024 تا آگوست 2025 بیش از 355 هزار دلار تراکنش غیرقانونی ثبت کرده و در همین بازه زمانی، سه فروشنده اصلی اپلیکیشن‌های Relay NFC نیز شناسایی شده‌اند:

• TX-NF با بیش از 25000 عضو در تلگرام
• X-NFC با بیش از 5000 عضو
• NFU Pay با بیش از 600 عضو

روش حمله

بدافزار NFC روی گوشی قربانی نصب می‌شود و تراکنش‌ها توسط کاربر واسط مالی (Money mule) انجام می‌شود، بدون اینکه نیاز به وجود کارت قربانی باشد.

جمع‌بندی

افزایش مستمر شناسایی این بدافزارها بین می 2024 تا دسامبر 2025 نشان می‌دهد که فناوری Tap-to-Pay در بین مجرمان سایبری به طور گسترده گسترش یافته است.

اقدامات ضروری:

• محافظت فعال از دستگاه‌های همراه
• کنترل دقیق اپلیکیشن‌ها و دسترسی‌ها
• مانیتورینگ تراکنش‌های مالی موبایلی

 منابع: