Nel mondo della sicurezza informatica c’è una convinzione ormai condivisa: lo smartphone sarebbe “più sicuro” del PC. Più chiuso, più controllato, più difficile da compromettere. Poi arrivano casi come ZeroDayRAT e quella certezza scricchiola. Non si parla dell’ennesima app sospetta nascosta in qualche store alternativo, ma di una vera piattaforma di spionaggio remoto. La quale viene confezionata e venduta come un servizio. Secondo l’analisi pubblicata da iVerify, ZeroDayRAT viene commercializzato apertamente su Telegram. Con canali dedicati alla vendita, all’assistenza clienti e persino agli aggiornamenti. Tale soluzione permette di agire anche se non si è esperti di malware, basta acquistare il pacchetto. Dentro c’è l’APK malevolo per Android (o un payload per iOS), le istruzioni operative e l’accesso a una dashboard web completa.
ZeroDayRAT: ecco i dettagli sul nuovo spyware
E dashboard non è un termine usato a caso. Si tratta di un pannello di controllo che offre all’operatore una vista quasi totale sul dispositivo infetto. Modello del telefono, versione del sistema operativo, stato della batteria, rete utilizzata, SIM installate, numeri associati. Già qui si capisce quanto sia facile trasformare tali dati in un profilo dettagliato dell’utente. Abitudini, orari di attività, app più utilizzate. Non è solo “hacking”, è osservazione sistematica. Poi si scende più in profondità. SMS intercettati, notifiche catturate in tempo reale, posizione GPS con cronologia degli spostamenti. Le notifiche, in particolare, sono una miniera d’oro: messaggi di WhatsApp, alert bancari, codici OTP, email, social. Tutto leggibile senza nemmeno aprire le app originali.
Il punto critico emerge proprio qui: i codici OTP via SMS. In uno scenario di compromissione completa, la 2FA basata su messaggi di testo diventa fragile. Se l’attaccante vede gli OTP in tempo reale o può addirittura inviare SMS dal numero della vittima, il livello di protezione crolla. Inoltre, ZeroDayRAT include streaming live da fotocamera e microfono, registrazione dello schermo, keylogging avanzato. L’aggressore può letteralmente guardare cosa fanno gli utenti mentre si digitano password, PIN, messaggi privati.
Sul fronte finanziario, il rischio è immediato. Wallet crypto monitorati, indirizzi sostituiti negli appunti, overlay sulle app di banking. A quel punto il passaggio dallo spionaggio al furto è quasi automatico. Per difendersi da tali scenari è necessario diffidare dei link ricevuti via SMS. Oltre che evitare installazioni fuori dagli store ufficiali e fare attenzione ai permessi richiesti dalle app.
