ZeroDayRAT: nuovo malware commerciale che colpisce Android e iOS

ZeroDayRAT è un nuovo spyware commerciale venduto su Telegram che consente il controllo remoto di dispositivi Android e iOS.

Il mercato degli spyware per mobile non è più un’esclusiva di gruppi governativi e operazioni di intelligence. Oggi strumenti estremamente invasivi vengono offerti come veri e propri servizi commerciali, accessibili a chiunque sia disposto a pagare. ZeroDayRAT si inserisce esattamente in questo scenario, presentandosi come una piattaforma di controllo remoto capace di colpire sia dispositivi Android che iOS.

Cos’è ZeroDayRAT
Come funziona ZeroDayRAT
Il modello commerciale
Come proteggersi da ZeroDayRAT

Questo nuovo spyware non solo presenta funzionalità avanzate, ma si è distinto per il suo modello di distribuzione e la semplicità con cui può essere impiegato. Si tratta, infatti, di un prodotto venduto tramite canali dedicati e dotato di un’infrastruttura completa.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è ZeroDayRAT

Come anticipato in fase di introduzione, ZeroDayRAT è un nuovo malware di tipo Remote Access Trojan (RAT) progettato per il controllo remoto di dispositivi mobili. A differenza di spyware tradizionali legati a operazioni statali, si presenta come una piattaforma commerciale distribuita attraverso canali Telegram dedicati. Scoperto da iVerify, società di cybersicurity specializzata proprio nel settore mobile, ZeroDayRAT prende di mira sia Android (dalla versione 5 alla 16) e iOS (fino alla versione 26).

La sua natura cross-platform consente agli operatori di colpire indistintamente ambienti consumer e aziendali, senza alcuna limitazione legata al sistema operativo. Gli acquirenti hanno a disposizione uno strumento versatile e potente, dotato di un’interfaccia per il controllo remoto che mostra informazioni sui dispositivi infetti, inclusi modello, sistema operativo, stato della batteria, dati della SIM, Paese e stato di blocco.

Ciò che colpisce è la sua integrazione modulare di funzionalità di sorveglianza e controllo, che fino a pochi anni fa erano ad appannaggio di strumenti molto più complessi e difficili da reperire.

Come funziona ZeroDayRAT

Proprio come altri esponenti RAT moderni, anche ZeroDayRAT segue la loro classica architettura. Infatti, è dotato di un payload installato sul dispositivo della vittima, un server di comando e controllo e un pannello di gestione utilizzato dall’aggressore. La differenza non sta nella struttura, ma nella completezza dell’offerta, dato che gli acquirenti non devono sviluppare nulla.

Le campagne di distribuzione avvengono principalmente per mezzo di smishing e phishing. Le vittime ricevono SMS o messaggi su applicazioni di messaggistica contenenti link a file APK malevoli o pagine che simulano aggiornamenti di sistema. Su Android, l’installazione avviene inducendo l’utente ad abilitare l’installazione da fonti sconosciute. Per iOS le varianti osservate sfruttano meccanismi di provisioning enterprise o configurazioni che aggirano le restrizioni dell’App Store. L’obiettivo è sempre quello di far installare volontariamente il payload, mascherandolo come applicazione legittima o aggiornamento di sicurezza.

Persistenza nel dispositivo

Dopo l’installazione, ZeroDayRAT richiede una serie di permessi estesi, tra cui accesso alle notifiche, ai servizi di accessibilità e alla gestione dei file. Questi gli permettono di esercitare persistenza nel dispositivo, potendo rimanere operativo anche dopo più riavvii del dispositivo.

Su Android, in particolare, l’abuso dei servizi di accessibilità permette di intercettare interazioni dell’utente e prevenire la rimozione dell’app. In alcuni casi, il malware può nascondere la propria icona o mascherarsi come servizio di sistema per ridurre la probabilità di rilevamento.

Raccolta dati e sorveglianza

Grazie a un modulo di keylogging, ZeroDayRAT può accedere ai messaggi SMS, notifiche, contatti, registro chiamate e informazioni di rete. Il malware può intercettare codici OTP ricevuti via SMS, compromettendo sistemi di autenticazione a due fattori basati su messaggistica. Questo modulo gli permette anche di accedere al GPS del dispositivo infetto, potendo così tracciare la posizione della vittima in tempo reale e ricostruirne gli spostamenti sulla mappa.

Il modulo di controllo remoto consente al malware di attivare da remoto microfono e fotocamera, registrare lo schermo e acquisire dati copiati nella clipboard. Questo consente non solo il furto di credenziali, ma anche la sorveglianza diretta delle attività della vittima.

Tutti i dati collezionati, sono poi trasmessi al server di comando e controllo (C2) tramite canali cifrati. La comunicazione tra le parti è progettata per essere continua ma discreta, riducendo il consumo anomalo di traffico che potrebbe insospettire l’utente.

Il modello commerciale

Alla data di pubblicazione di questo articolo, rimane ignota l’identità dei creatori di ZeroDayRAT. Tuttavia, è ben chiaro il loro modello commerciale. Distribuito come prodotto completo su canali Telegram dedicati, i cybercriminali promuovono il toolkit con descrizioni dettagliate delle funzionalità, aggiornamenti periodici e assistenza tecnica. Ciò colloca ZeroDayRAT nel modello malware-as-a-service.

Chi acquista la piattaforma, ha a piena disposizione il payload mobile, l’accesso al pannello di controllo e le istruzioni per la configurazione del server C2. In pratica, viene fornita una soluzione chiavi in mano, pronta per essere impiegata in campagne mirate o su larga scala.

Il vero elemento che rende ZeroDayRAT così pericoloso è l’abbassamento della soglia tecnica necessaria per condurre operazioni di sorveglianza avanzata. Funzionalità che in passato richiedevano competenze elevate e ingenti risorse, sono oggi accessibili a un pubblico molto più ampio.

Come proteggersi da ZeroDayRAT

In base a quanto discusso finora, proteggersi da un malware come ZeroDayRAT non ha una soluzione universale. Tuttavia, esistono una serie di best practices di sicurezza che possono essere attuate sin da subito.

Non installare applicazioni da fonti esterne agli store ufficiali.
Su Android l’abilitazione dell’installazione da fonti sconosciute rappresenta il principale vettore di infezione. È fondamentale mantenerla disattivata e scaricare applicazioni esclusivamente da Google Play o App Store.
Verifica attentamente i link ricevuti via SMS, o chat privata.
Campagne di smishing inducono l’utente a cliccare su link che simulano aggiornamenti o comunicazioni urgenti. È buona pratica non aprire collegamenti sospetti e verificare sempre l’origine del messaggio.
Controlla sempre i permessi concessi alle applicazioni.
Accesso a servizi di accessibilità, notifiche, microfono o fotocamera deve essere concesso solo ad applicazioni realmente necessarie.
Utilizza l’autenticazione multifattore basata su app, o token hardware.
L’intercettazione di OTP via SMS è una delle funzionalità di ZeroDayRAT. Preferire app di autenticazione o dispositivi fisici riduce il rischio di compromissione degli account.
Aggiorna regolarmente sistema operativo e applicazioni.
Aggiornamenti frequenti correggono vulnerabilità sfruttabili da malware e migliorano i meccanismi di rilevamento integrati nel sistema.
Monitora eventuali comportamenti anomali del dispositivo.
Consumo eccessivo di batteria, traffico dati anomalo o attivazioni improvvise di microfono e fotocamera possono essere segnali di compromissione.

In conclusione

ZeroDayRAT è l’ennesima dimostrazione di come gli strumenti di attacco e sorverglianza siano ormai alla portata di chiunque. La combinazione tra compatibilità cross-platform, funzionalità invasive e distribuzione commerciale rende questa minaccia un esempio di industrializzazione dello spyware mobile. Quando strumenti di controllo remoto completi diventano accessibili a un pubblico ampio, aumenta la probabilità di utilizzo in frodi, estorsione e spionaggio mirato. Comprendere come operano queste minacce e adottare misure preventive adeguate, resta l’unica difesa efficace.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.