Una nuova e sofisticata minaccia sta emergendo dai canali sotterranei di Telegram, presentandosi come uno strumento capace di compromettere la sicurezza della quasi totalità dei dispositivi mobili attualmente in circolazione.
Battezzato ZeroDayRAT, questo spyware commerciale viene pubblicizzato ai criminali informatici come una soluzione definitiva per il controllo remoto, dichiarando una compatibilità che spazia dalle versioni più datate di Android fino alle iterazioni più recenti di iOS.
Secondo le analisi condotte dai ricercatori di iVerify, non ci troviamo di fronte a un semplice software per il furto di dati, ma a un vero e proprio ecosistema di sorveglianza in tempo reale, progettato per annullare la privacy dell’utente e svuotarne i conti correnti.
ZeroDayRAT è un centro di comando per lo spionaggio totale
L’architettura di ZeroDayRAT ruota attorno a un pannello di controllo che offre all’aggressore una visione onnisciente del dispositivo infetto.
Una volta stabilita la connessione, la dashboard rivela immediatamente ogni dettaglio dello smartphone, dal modello specifico allo stato della batteria, passando per i dettagli della SIM e lo stato di blocco dello schermo.
Tuttavia, la sorveglianza va ben oltre la semplice diagnostica. Il malware è in grado di generare timeline dettagliate delle attività dell’utente, registrando l’uso delle applicazioni e archiviando intere conversazioni SMS.
La profondità dell’intrusione diventa ancora più inquietante quando si analizzano le capacità di tracciamento geografico. Se il malware riesce a ottenere i permessi per il GPS, l’operatore può seguire gli spostamenti della vittima in tempo reale, visualizzando la posizione direttamente su Google Maps e consultando uno storico completo dei luoghi visitati.
A questo si aggiunge la catalogazione degli account registrati sul dispositivo, che espone indirizzi email e ID utente, fornendo ai criminali il materiale necessario per tentativi di accesso forzato su altre piattaforme.
Dalla sorveglianza passiva al furto attivo
Ciò che distingue ZeroDayRAT da molte altre minacce è la sua capacità di trasformare lo smartphone in un dispositivo di ascolto e registrazione attivo.
Il software permette di attivare da remoto le fotocamere, sia anteriore che posteriore, e il microfono, consentendo agli attaccanti di vedere e ascoltare ciò che accade nell’ambiente circostante la vittima.
Inoltre, la funzione di registrazione dello schermo permette di catturare segreti che non vengono salvati nei log di sistema, come messaggi effimeri o dati visualizzati momentaneamente.
Il livello di controllo si estende anche all’intercettazione degli input fisici dell’utente. Un modulo di keylogging registra tutto ciò che viene digitato, incluse password complesse, e persino i gesti o i pattern di sblocco sullo schermo.
Questa capacità di intercettazione diventa critica nel contesto della sicurezza bancaria: avendo accesso agli SMS, il malware può catturare le password monouso (OTP), permettendo di aggirare l’autenticazione a due fattori e persino di inviare messaggi dal telefono della vittima all’insaputa del proprietario.
Per cosa viene usato ZeroDayRAT?
L’obiettivo finale di ZeroDayRAT appare chiaramente economico. I ricercatori hanno individuato moduli specifici dedicati al furto di criptovalute e credenziali bancarie.
Il malware esegue una scansione alla ricerca di app come MetaMask, Trust Wallet, Binance e Coinbase, registrando saldi e ID dei portafogli. Una tecnica particolarmente insidiosa è l’iniezione nella clipboard: quando l’utente copia un indirizzo di portafoglio per una transazione, il malware lo sostituisce silenziosamente con quello dell’attaccante.
Parallelamente, il software prende di mira le applicazioni bancarie tradizionali e i servizi di pagamento come PayPal, Google Pay e Apple Pay.
Utilizzando schermate in sovraimpressione che imitano perfettamente le app legittime, inganna l’utente inducendolo a inserire le proprie credenziali, che vengono immediatamente trasmesse ai server dei criminali.
Sebbene il vettore di infezione iniziale non sia stato ancora del tutto chiarito, la potenza di questo toolkit rappresenta un rischio concreto sia per la privacy individuale che per la sicurezza aziendale.
Gli esperti consigliano, come prima linea di difesa, di limitarsi rigorosamente agli store ufficiali e, per gli utenti ad alto rischio, di valutare l’attivazione della Modalità di Isolamento su iOS o della Protezione Avanzata su Android.
