A new and sophisticated threat is emerging from the underground channels of Telegram, presenting itself as a tool capable of compromising the security of the almost all mobile devices currently in circulation.
Named ZeroDayRAT, this commercial spyware is advertised to cybercriminals as a definitive solution for remote control, claiming compatibility spanning from the older Android versions to the latest iterations of iOS.
According to analyses conducted by researchers at iVerify, we are not facing a simple data-theft software, but a true real-time surveillance ecosystem, designed to undermine the user's privacy and drain their bank accounts.
L'obiettivo finale di ZeroDayRAT appare chiaramente economico. I ricercatori hanno identificato moduli specifici dedicati al furto di criptovalute e credenziali bancarie.
Il malware esegue una scansione alla ricerca di app come MetaMask, Trust Wallet, Binance e Coinbase, registrando saldi e ID dei portafogli. Una tecnica particolarmente insidiosa è l'iniezione nella clipboard: quando l'utente copia un indirizzo di portafoglio per una transazione, il malware lo sostituisce silenziosamente con quello dell'attaccante.
Parallelamente, il software prende di mira le applicazioni bancarie tradizionali e i servizi di pagamento come PayPal, Google Pay e Apple Pay.
Utilizzando schermate in sovraimpressione che imitano perfettamente le app legittime, inganna l'utente inducendolo a inserire le proprie credenziali, che vengono immediatamente trasmesse ai server dei criminali.
Sebbene il vettore di infezione iniziale non sia stato ancora del tutto chiarito, la potenza di questo toolkit rappresenta un rischio concreto sia per la privacy individuale che per la sicurezza aziendale.
Gli esperti consigliano, come prima linea di difesa, di limitarsi rigorosamente agli store ufficiali e, per gli utenti ad alto rischio, di valutare l'attivazione della Modalità di Isolamento su iOS o della <emProtezione Avanzata su Android.
L'architettura di ZeroDayRAT ruota attorno a un pannello di controllo che offre all'aggressore una visione onnisciente del dispositivo infetto.
Una volta stabilita la connessione, la dashboard rivela immediatamente ogni dettaglio dello smartphone, dal modello specifico allo stato della batteria, passando per i dettagli della SIM e lo stato di blocco dello schermo.
Tuttavia, la sorveglianza va ben oltre la semplice diagnostica. Il malware è in grado di generare timeline dettagliate delle attività dell'utente, registrando l'uso delle applicazioni e archiviando intere conversazioni SMS.
La profondità dell'intrusione diventa ancora più inquietante quando si analizzano le capacità di tracciamento geografico. Se il malware riesce a ottenere i permessi per il GPS, l'operatore può seguire gli spostamenti della vittima in tempo reale, visualizzando la posizione direttamente su Google Maps e consultando uno storico completo dei luoghi visitati.
A questo si aggiunge la catalogazione degli account registrati sul dispositivo, che espone indirizzi email e ID utente, fornendo ai criminali il materiale necessario per tentativi di accesso forzato su altre piattaforme.
Ciò che distingue ZeroDayRAT da molte altre minacce è la sua capacità di trasformare lo smartphone in un dispositivo di ascolto e registrazione attivo.
Il software permette di attivare da remoto le fotocamere, sia anteriore che posteriore, e il microfono, consentendo agli attaccanti di vedere e ascoltare ciò che accade nell'ambiente circostante la vittima.
Inoltre, la funzione di registrazione dello schermo permette di catturare segreti che non vengono salvati nei log di sistema, come messaggi effimeri o dati visualizzati momentaneamente.
Il livello di controllo si estende anche all'intercettazione degli input fisici dell'utente. Un modulo di keylogging registra tutto ciò che viene digitato, incluse password complesse, e persino i gesti o i pattern di sblocco sullo schermo.
Questa capacità di intercettazione diventa critica nel contesto della sicurezza bancaria: avendo accesso agli SMS, il malware può catturare le password monouso (OTP), permettendo di aggirare l'autenticazione a due fattori e persino di inviare messaggi dal telefono della vittima all'insaputa del proprietario.
L'obiettivo finale di ZeroDayRAT appare chiaramente economico. I ricercatori hanno identificato moduli specifici dedicati al furto di criptovalute e credenziali bancarie.
Il malware esegue una scansione alla ricerca di app come MetaMask, Trust Wallet, Binance e Coinbase, registrando saldi e ID dei portafogli. Una tecnica particolarmente insidiosa è l'iniezione nella clipboard: quando l'utente copia un indirizzo di portafoglio per una transazione, il malware lo sostituisce silenziosamente con quello dell'attaccante.
Parallelamente, il software prende di mira le applicazioni bancarie tradizionali e i servizi di pagamento come PayPal, Google Pay e Apple Pay.
Utilizzando schermate in sovraimpressione che imitano perfettamente le app legittime, inganna l'utente inducendolo a inserire le proprie credenziali, che vengono immediatamente trasmesse ai server dei criminali.
Sebbene il vettore di infezione iniziale non sia stato ancora del tutto chiarito, la potenza di questo toolkit rappresenta un rischio concreto sia per la privacy individuale che per la sicurezza aziendale.
Gli esperti consigliano, come prima linea di difesa, di limitarsi rigorosamente agli store ufficiali e, per gli utenti ad alto rischio, di valutare l'attivazione della Modalità di Isolamento su iOS o della <emProtezione Avanzata su Android.
More and more people are turning to smartwatches powered by the Wear OS operating system…
The Chinese company has announced the opening of the beta program dedicated to Android 17:…
Over ten years after the high-profile commercial failure of the Fire Phone, Amazon seems to…
The device is characterized by a yellow color and top features: a powerful motor of…
Ahead of the annual developers' conference WWDC, which will open its doors on June 8,…
If you thought that the current memory shortages were the only factor capable of driving…