Spyware para dispositivos móveis ZeroDayRAT
Pesquisadores de cibersegurança descobriram uma sofisticada plataforma de spyware para dispositivos móveis conhecida como ZeroDayRAT, atualmente promovida no Telegram como uma solução completa para extrair dados sensíveis e realizar vigilância em tempo real em dispositivos Android e iOS. Comercializada como um pacote de espionagem pronto para uso, a plataforma vai muito além da simples coleta de dados, aventurando-se no monitoramento ativo e na exploração financeira direta.
A operadora mantém canais dedicados no Telegram para vendas, atendimento ao cliente e atualizações constantes, oferecendo aos compradores acesso centralizado a um ecossistema de spyware totalmente funcional. Esse modelo de distribuição simplificado reduz significativamente as barreiras de entrada para cibercriminosos que buscam recursos avançados de vigilância.
Índice
Ampla compatibilidade com dispositivos e implantação flexível
O ZeroDayRAT é compatível com as versões do Android de 5 a 16 e com as versões do iOS até a 26, garantindo ampla cobertura de dispositivos. Acredita-se que o malware seja distribuído principalmente por meio de campanhas de engenharia social e lojas de aplicativos fraudulentas, projetadas para enganar os usuários e levá-los a instalar aplicativos maliciosos.
Os compradores recebem um construtor de malware que gera binários maliciosos personalizados. Esses binários são gerenciados por meio de um painel de controle online que os operadores podem implantar em seus próprios servidores, concedendo-lhes controle administrativo completo sobre os dispositivos infectados.
Inteligência abrangente de dispositivos e rastreamento de localização
Uma vez instalado, o ZeroDayRAT oferece aos operadores ampla visibilidade do dispositivo comprometido. Através de um painel de gerenciamento próprio, os atacantes podem acessar informações detalhadas como modelo do dispositivo, versão do sistema operacional, status da bateria, dados do SIM, informações da operadora, uso de aplicativos, conteúdo das notificações e prévias de mensagens SMS recentes. Essas informações permitem que os agentes maliciosos criem perfis detalhados das vítimas, incluindo padrões de comunicação e aplicativos frequentemente utilizados.
A plataforma também captura coordenadas GPS em tempo real e as mapeia usando o Google Maps, além de manter um registro histórico dos movimentos da vítima. Esse rastreamento persistente de geolocalização transforma efetivamente o dispositivo infectado em uma ferramenta de vigilância contínua.
Enumeração de contas e exposição de credenciais
Uma funcionalidade particularmente preocupante é o painel "Contas", que lista todas as contas registradas no dispositivo infectado. Isso inclui serviços amplamente utilizados, como:
- Google, WhatsApp, Instagram, Facebook, Telegram
- Amazon, Flipkart, PhonePe, Paytm e Spotify
Os nomes de usuário ou endereços de e-mail associados também ficam expostos, permitindo a coleta de credenciais, a criação de perfis de identidade e possíveis tentativas de apropriação de contas.
Vigilância avançada e burla à autenticação de dois fatores
O ZeroDayRAT incorpora uma gama de recursos intrusivos de vigilância e interceptação. Estes incluem:
- Registro de teclas digitadas para capturar credenciais e comunicações privadas.
- Extração de mensagens SMS, incluindo senhas de uso único (OTP) utilizadas para burlar a autenticação de dois fatores.
- Transmissão de vídeo em tempo real e ativação de microfone para monitoramento audiovisual ao vivo.
Essas funcionalidades permitem que os adversários realizem vigilância prática e interativa, transformando dispositivos comprometidos em ferramentas remotas de coleta de informações.
Módulos integrados de proteção contra roubo de criptomoedas e de sistemas bancários
Além da vigilância, o malware integra mecanismos de roubo financeiro. Um componente de roubo de criptomoedas busca aplicativos de carteira como MetaMask, Trust Wallet, Binance e Coinbase. Quando uma vítima copia um endereço de carteira para a área de transferência, o malware o substitui por um endereço controlado pelo atacante, redirecionando as transações sem o conhecimento do usuário.
Um módulo dedicado de roubo bancário também visa serviços de pagamento digital, incluindo Apple Pay, Google Pay, PayPal e PhonePe. O PhonePe utiliza a Interface Unificada de Pagamentos (UPI) da Índia, um protocolo projetado para facilitar transações interbancárias ponto a ponto e entre pessoa e comerciante, tornando-se um alvo atraente para agentes com motivações financeiras.
Ameaças de espionagem móvel em evolução
O ZeroDayRAT representa uma estrutura completa de comprometimento de dispositivos móveis, com funcionalidades que antes exigiam recursos de Estados-nação ou desenvolvimento de exploits personalizados, agora disponíveis comercialmente via Telegram. Um único operador pode obter acesso, via navegador, aos dados de localização, comunicações, contas financeiras, imagens da câmera, entradas do microfone e teclas digitadas da vítima.
O malware está alinhado com uma tendência mais ampla de ameaças móveis que exploram campanhas de phishing e infiltração em lojas de aplicativos oficiais. Os atacantes têm identificado repetidamente métodos para contornar as medidas de segurança implementadas pela Apple e pelo Google, muitas vezes manipulando os usuários para que instalem aplicativos maliciosos.
Em dispositivos iOS, as campanhas frequentemente abusam de mecanismos de provisionamento corporativo que permitem às organizações distribuir aplicativos fora da App Store oficial. Ao comercializar pacotes de spyware que combinam recursos de vigilância e roubo financeiro, os agentes de ameaças continuam a reduzir as barreiras técnicas para cibercriminosos menos experientes, ao mesmo tempo que amplificam a sofisticação e a persistência de ataques direcionados a dispositivos móveis.
O ZeroDayRAT destaca uma realidade crítica: as capacidades avançadas de vigilância móvel e exploração financeira já não se restringem a grupos de elite, mas estão cada vez mais acessíveis no submundo do cibercrime.
