A new and sophisticated threat is emerging from the underground channels of Telegram, presenting itself as a tool capable of compromising the security of the almost all mobile devices currently in circulation.
Named ZeroDayRAT, this commercial spyware is advertised to cybercriminals as a definitive solution for remote control, claiming compatibility spanning from the older Android versions to the latest iterations of iOS.
According to analyses conducted by researchers at iVerify, we are not facing a simple data-theft software, but a true real-time surveillance ecosystem, designed to undermine the user's privacy and drain their bank accounts.
L'obiettivo finale di ZeroDayRAT appare chiaramente economico. I ricercatori hanno identificato moduli specifici dedicati al furto di criptovalute e credenziali bancarie.
Il malware esegue una scansione alla ricerca di app come MetaMask, Trust Wallet, Binance e Coinbase, registrando saldi e ID dei portafogli. Una tecnica particolarmente insidiosa è l'iniezione nella clipboard: quando l'utente copia un indirizzo di portafoglio per una transazione, il malware lo sostituisce silenziosamente con quello dell'attaccante.
Parallelamente, il software prende di mira le applicazioni bancarie tradizionali e i servizi di pagamento come PayPal, Google Pay e Apple Pay.
Utilizzando schermate in sovraimpressione che imitano perfettamente le app legittime, inganna l'utente inducendolo a inserire le proprie credenziali, che vengono immediatamente trasmesse ai server dei criminali.
Sebbene il vettore di infezione iniziale non sia stato ancora del tutto chiarito, la potenza di questo toolkit rappresenta un rischio concreto sia per la privacy individuale che per la sicurezza aziendale.
Gli esperti consigliano, come prima linea di difesa, di limitarsi rigorosamente agli store ufficiali e, per gli utenti ad alto rischio, di valutare l'attivazione della Modalità di Isolamento su iOS o della <emProtezione Avanzata su Android.
L'architettura di ZeroDayRAT ruota attorno a un pannello di controllo che offre all'aggressore una visione onnisciente del dispositivo infetto.
Una volta stabilita la connessione, la dashboard rivela immediatamente ogni dettaglio dello smartphone, dal modello specifico allo stato della batteria, passando per i dettagli della SIM e lo stato di blocco dello schermo.
Tuttavia, la sorveglianza va ben oltre la semplice diagnostica. Il malware è in grado di generare timeline dettagliate delle attività dell'utente, registrando l'uso delle applicazioni e archiviando intere conversazioni SMS.
La profondità dell'intrusione diventa ancora più inquietante quando si analizzano le capacità di tracciamento geografico. Se il malware riesce a ottenere i permessi per il GPS, l'operatore può seguire gli spostamenti della vittima in tempo reale, visualizzando la posizione direttamente su Google Maps e consultando uno storico completo dei luoghi visitati.
A questo si aggiunge la catalogazione degli account registrati sul dispositivo, che espone indirizzi email e ID utente, fornendo ai criminali il materiale necessario per tentativi di accesso forzato su altre piattaforme.
Ciò che distingue ZeroDayRAT da molte altre minacce è la sua capacità di trasformare lo smartphone in un dispositivo di ascolto e registrazione attivo.
Il software permette di attivare da remoto le fotocamere, sia anteriore che posteriore, e il microfono, consentendo agli attaccanti di vedere e ascoltare ciò che accade nell'ambiente circostante la vittima.
Inoltre, la funzione di registrazione dello schermo permette di catturare segreti che non vengono salvati nei log di sistema, come messaggi effimeri o dati visualizzati momentaneamente.
Il livello di controllo si estende anche all'intercettazione degli input fisici dell'utente. Un modulo di keylogging registra tutto ciò che viene digitato, incluse password complesse, e persino i gesti o i pattern di sblocco sullo schermo.
Questa capacità di intercettazione diventa critica nel contesto della sicurezza bancaria: avendo accesso agli SMS, il malware può catturare le password monouso (OTP), permettendo di aggirare l'autenticazione a due fattori e persino di inviare messaggi dal telefono della vittima all'insaputa del proprietario.
L'obiettivo finale di ZeroDayRAT appare chiaramente economico. I ricercatori hanno identificato moduli specifici dedicati al furto di criptovalute e credenziali bancarie.
Il malware esegue una scansione alla ricerca di app come MetaMask, Trust Wallet, Binance e Coinbase, registrando saldi e ID dei portafogli. Una tecnica particolarmente insidiosa è l'iniezione nella clipboard: quando l'utente copia un indirizzo di portafoglio per una transazione, il malware lo sostituisce silenziosamente con quello dell'attaccante.
Parallelamente, il software prende di mira le applicazioni bancarie tradizionali e i servizi di pagamento come PayPal, Google Pay e Apple Pay.
Utilizzando schermate in sovraimpressione che imitano perfettamente le app legittime, inganna l'utente inducendolo a inserire le proprie credenziali, che vengono immediatamente trasmesse ai server dei criminali.
Sebbene il vettore di infezione iniziale non sia stato ancora del tutto chiarito, la potenza di questo toolkit rappresenta un rischio concreto sia per la privacy individuale che per la sicurezza aziendale.
Gli esperti consigliano, come prima linea di difesa, di limitarsi rigorosamente agli store ufficiali e, per gli utenti ad alto rischio, di valutare l'attivazione della Modalità di Isolamento su iOS o della <emProtezione Avanzata su Android.
Google is preparing to introduce a brand-new device for its wearables lineup, entering direct competition…
Recently Vivo announced its new Camera Phone for the Chinese market, with a major novelty…
Google seems intent on tightening protection measures related to software on its newer smartphones. According…
The market for TWS headphones is now saturated, with fierce competition among brands to offer…
The company founded by Carl Pei aims to expand its product ecosystem well beyond smartphones.…
A few days after the renders dedicated to the standard model, we are back to…