Un reporte de la firma iVerify alertó sobre una nueva herramienta de espionaje comercial denominada ZeroDayRAT la cual está siendo ofrecida a cibercriminales a través de Telegram y permite el acceso remoto completo a dispositivos móviles, planteando riesgos para la privacidad y seguridad financiera de usuarios y organizaciones.
A comienzos de este mes la firma IVerify alertó sobre ZeroDayRAT, un sofisticado spyware diseñado para comprometer por completo dispositivos Android así como iOS, y que ya está siendo comercializado abiertamente entre actores maliciosos a través de la plataforma de mensajería Telegram. Los investigadores advirtieron que esta herramienta no solo espía datos, sino que otorga control casi total sobre los sistemas infectados.
Según los análisis realizados por los investigadores de la firma iVerify, ZeroDayRAT opera como un kit completo de compromiso móvil que, una vez instalado en un teléfono afectado, ofrece a los atacantes capacidades avanzadas de vigilancia y extracción de información. Este tipo de funcionalidad es comparable a herramientas desarrolladas históricamente por grupos con recursos estatales, pero ahora estaría al alcance de cibercriminales regulares.
El proceso de infección requiere que el usuario descargue e instale manualmente un binario malicioso, algo que puede ocurrir mediante enlaces de phishing, smishing (mensajes de texto fraudulento) o aplicaciones troyanizadas distribuidas fuera de las tiendas oficiales. Una vez ejecutado, ZeroDayRAT puede recopilar y transmitir datos completos del dispositivo al atacante, incluyendo información del modelo, sistema operativo, nivel de batería, estado del bloqueo y detalles de la SIM, entre otros.
Además de la recopilación pasiva de datos, el spyware incorpora herramientas de vigilancia activa. Por ejemplo, puede transmitir imágenes en vivo desde la cámara frontal o la cámara trasera, grabar la pantalla o escuchar a través del micrófono. Estas capacidades permiten a los operadores observar, escuchar y rastrear al usuario que se ha convertido en su objetivo en tiempo real.
Entre las funciones más peligrosas del malware está su capacidad para registrar todas las teclas pulsadas (incluyendo desbloqueos biométricos y contraseñas), lo que facilita el robo de credenciales bancarias y de criptomonedas. El kit incluso incorpora mecanismos para interceptar y modificar transacciones financieras automatizadas, como la inyección de direcciones de criptomonedas desconocidas cuando la víctima intenta transferir fondos.
Otra de las amenazas asociadas a ZeroDayRAT es el rastreo de la ubicación. El malware puede extraer coordenadas GPS y construir un historial de ubicación completo del usuario, lo que agrava los riesgos asociados tanto a la privacidad personal como a la seguridad física de las víctimas.
A diferencia de otras formas de malware más “artesanal” o fragmentadas, ZeroDayRAT se presenta como una plataforma de espionaje móvil lista para usar, con paneles de control y herramientas de construcción de cargas maliciosas que no requieren conocimientos técnicos avanzados por parte del atacante. Esto transforma un teléfono común en una herramienta de espionaje, incluso por parte de actores con habilidades limitadas.
El hecho de que este spyware se comercialice abiertamente en Telegram plantea un desafío adicional para los esfuerzos de mitigación, ya que las autoridades no pueden fácilmente rastrear o desactivar una sola infraestructura central de comando y control, dado que cada operador puede implementar y gestionar su propio backend.
Para enfrentar este tipo de amenaza, los investigadores enfatizaron la importancia de mantener hábitos seguros, partiendo por evitar instalar aplicaciones desde fuentes no oficiales; no abrir enlaces sospechosos y emplear soluciones de seguridad móviles pueden reducir la probabilidad de infección; y mantener los dispositivos y aplicaciones actualizados para bloquear vectores de ataque conocidos antes de que sean explotados por amenazas como ZeroDayRAT.