Spyware mobile ZeroDayRAT
I ricercatori di sicurezza informatica hanno scoperto una sofisticata piattaforma di spyware mobile nota come ZeroDayRAT, attualmente pubblicizzata su Telegram come una soluzione completa per l'estrazione di dati sensibili e la sorveglianza in tempo reale su dispositivi Android e iOS. Commercializzata come una suite di spionaggio pronta all'uso, la piattaforma si estende ben oltre la semplice raccolta di dati e si spinge fino al monitoraggio attivo e allo sfruttamento finanziario diretto.
L'operatore gestisce canali Telegram dedicati per le vendite, l'assistenza clienti e gli aggiornamenti continui, offrendo agli acquirenti un accesso centralizzato a un ecosistema di spyware completamente funzionale. Questo modello di distribuzione semplificato riduce significativamente la barriera d'ingresso per i criminali informatici che cercano funzionalità di sorveglianza avanzate.
Sommario
Ampia compatibilità con i dispositivi e distribuzione flessibile
ZeroDayRAT supporta le versioni Android dalla 5 alla 16 e iOS fino alla 26, garantendo un'ampia copertura di dispositivi. Si ritiene che il malware venga distribuito principalmente attraverso campagne di social engineering e marketplace di app fraudolenti progettati per indurre gli utenti a installare applicazioni dannose.
Gli acquirenti ricevono un generatore di malware che genera file binari dannosi personalizzati. Questi file binari vengono gestiti tramite un pannello di controllo online che gli operatori possono implementare sui propri server, garantendo loro il pieno controllo amministrativo sui dispositivi infetti.
Intelligenza completa del dispositivo e tracciamento della posizione
Una volta installato, ZeroDayRAT fornisce agli operatori un'ampia visibilità sul dispositivo compromesso. Attraverso un pannello di gestione self-hosted, gli aggressori possono accedere a informazioni dettagliate come modello del dispositivo, versione del sistema operativo, stato della batteria, dati della SIM, informazioni sull'operatore, utilizzo delle applicazioni, contenuto delle notifiche e anteprime degli SMS recenti. Queste informazioni consentono agli autori delle minacce di costruire profili dettagliati delle vittime, inclusi modelli di comunicazione e applicazioni utilizzate di frequente.
La piattaforma acquisisce anche le coordinate GPS in tempo reale e le mappa tramite Google Maps, oltre a mantenere un registro storico degli spostamenti della vittima. Questo tracciamento geolocalizzato persistente trasforma di fatto il dispositivo infetto in uno strumento di sorveglianza continua.
Enumerazione degli account ed esposizione delle credenziali
Una funzionalità particolarmente preoccupante è il pannello "Account", che elenca tutti gli account registrati sul dispositivo infetto. Tra questi rientrano servizi ampiamente utilizzati, come:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm e Spotify
Vengono inoltre esposti i nomi utente o gli indirizzi e-mail associati, consentendo la raccolta di credenziali, la profilazione dell'identità e potenziali tentativi di furto di account.
Sorveglianza avanzata e bypass dell’autenticazione a due fattori
ZeroDayRAT integra una gamma di funzionalità di sorveglianza e intercettazione intrusive. Tra queste:
- Registrazione dei tasti premuti per acquisire credenziali e comunicazioni private
- Estrazione di messaggi SMS, comprese le password monouso (OTP) utilizzate per bypassare l'autenticazione a due fattori
- Streaming della telecamera in tempo reale e attivazione del microfono per il monitoraggio audiovisivo in tempo reale
Queste funzionalità consentono agli avversari di condurre una sorveglianza pratica e interattiva, trasformando i dispositivi compromessi in risorse di raccolta di informazioni da remoto.
Moduli integrati per il furto di criptovalute e servizi bancari
Oltre alla sorveglianza, il malware integra meccanismi di furto finanziario. Un componente stealer di criptovalute esegue la scansione di applicazioni wallet come MetaMask, Trust Wallet, Binance e Coinbase. Quando una vittima copia un indirizzo wallet negli appunti, il malware lo sostituisce con un indirizzo controllato dall'aggressore, reindirizzando le transazioni all'insaputa dell'utente.
Un modulo dedicato al banking stealer prende di mira anche i servizi di pagamento digitale, tra cui Apple Pay, Google Pay, PayPal e PhonePe. PhonePe sfrutta l'Unified Payments Interface (UPI) dell'India, un protocollo progettato per facilitare le transazioni interbancarie peer-to-peer e tra persona e commerciante, rendendolo un bersaglio appetibile per gli attori motivati finanziariamente.
Minacce di spionaggio mobile in evoluzione
ZeroDayRAT rappresenta un framework completo per la compromissione dei dispositivi mobili, le cui funzionalità, che in precedenza richiedevano risorse di stati nazionali o lo sviluppo di exploit personalizzati, sono ora disponibili in commercio tramite Telegram. Un singolo operatore può ottenere l'accesso tramite browser ai dati sulla posizione, alle comunicazioni, ai conti finanziari, al feed della telecamera, all'input del microfono e alle sequenze di tasti di una vittima.
Il malware si allinea a una tendenza più ampia nelle minacce mobili che sfruttano campagne di phishing e infiltrazioni nei marketplace ufficiali delle app. Gli aggressori hanno ripetutamente identificato metodi per aggirare le misure di sicurezza implementate da Apple e Google, spesso manipolando gli utenti inducendoli a installare applicazioni dannose.
Sui dispositivi iOS, le campagne sfruttano spesso i meccanismi di provisioning aziendale che consentono alle organizzazioni di distribuire applicazioni al di fuori dell'App Store ufficiale. Commercializzando pacchetti di spyware che combinano funzionalità di sorveglianza e furto di dati finanziari, gli autori delle minacce continuano a ridurre le barriere tecniche per i criminali informatici meno esperti, amplificando al contempo la sofisticatezza e la persistenza degli attacchi incentrati sui dispositivi mobili.
ZeroDayRAT sottolinea una realtà critica: le capacità avanzate di sorveglianza mobile e di sfruttamento finanziario non sono più confinate a gruppi di minaccia d'élite, ma sono sempre più accessibili all'interno del mondo della criminalità informatica.
