ZeroDayRAT: Il Nuovo Spyware Commerciale che Minaccia Smartphone Android e iOS Via Telegram

Un nuovo e preoccupante spyware commerciale, denominato ZeroDayRAT, sta emergendo su Telegram, promettendo ai suoi acquirenti il controllo completo degli smartphone Android e iOS. L'allarme è stato lanciato da iVerify, una rinomata società di cybersicurezza specializzata nella protezione dei dispositivi mobili. Questo malware vanta una compatibilità impressionante, supportando sistemi Android dalla versione 5 fino alla 16 e iOS fino all'attuale versione 26. Offre un pannello di controllo sofisticato che fornisce agli operatori una panoramica dettagliata sui dispositivi infettati, inclusi modello, sistema operativo, stato della batteria, dati della SIM, localizzazione geografica e stato di blocco.

Secondo le analisi dei ricercatori, le capacità di ZeroDayRAT vanno ben oltre il semplice furto di dati. Si compone di numerosi moduli che gli conferiscono un'ampia gamma di funzionalità dannose:

• Monitoraggio Approfondito (Logging): Il malware è in grado di registrare quali applicazioni sono state aperte, quando e per quanto tempo sono state utilizzate, intercettare SMS e notifiche, identificare gli account presenti sul dispositivo e catturare l'input dell'utente tramite un keylogger. Monitora anche altre attività di sistema e, se ottiene l'accesso al GPS, può tracciare la posizione della vittima in tempo reale e ricostruirne gli spostamenti su una mappa dettagliata.

• Controllo Remoto Estensivo: Permette l'attivazione a distanza di fotocamere e microfoni, consentendo la trasmissione in tempo reale di flussi audio e video, oltre alla registrazione dello schermo. Con l'accesso agli SMS, ZeroDayRAT può anche intercettare le password temporanee (OTP), aggirando di fatto l'autenticazione a due fattori, una delle principali difese di sicurezza.

• Aggressione Finanziaria Mirata: Sono presenti moduli specifici per il furto di criptovalute e credenziali bancarie. Include strumenti per svuotare wallet popolari come MetaMask, Trust Wallet, Binance e Coinbase. Può tentare l'iniezione di indirizzi nella clipboard per reindirizzare transazioni e mostrare schermate false per carpire dati sensibili da app bancarie e di pagamento, inclusi servizi come Google Pay, Apple Pay e PayPal.

Sebbene iVerify non specifichi i vettori di infezione iniziali di ZeroDayRAT, è evidente che sia progettato per le fasi avanzate di un attacco. Non mira a violare le difese iniziali del dispositivo, ma funge da strumento post-breccia per massimizzare i danni una volta ottenuto l'accesso. Il consiglio fondamentale dei ricercatori rimane invariato: installare applicazioni esclusivamente da app store ufficiali e fonti che godono di comprovata affidabilità.