ZeroDayRAT è il nome che sta rimbalzando su canali Telegram e forum underground, e vale la pena prenderlo sul serio. I ricercatori di iVerify hanno alzato la voce: questo nuovo spyware commerciale promette il controllo totale di smartphone e tablet, con funzioni pensate per chi vuole trasformare un dispositivo in una vera e propria spia.
Il pannello di controllo venduto insieme al malware offre una vista completa sui dispositivi compromessi: modello, versione del sistema operativo, stato della batteria, informazioni sulla SIM, Paese e stato di blocco. Supporta un ampio spettro di target, da Android in versione 5 fino alla 16 e da iOS fino all’attuale 26. Non è solo uno strumento per rubare dati: è un kit modulare che mette a disposizione logging avanzato, sorveglianza, strumenti finanziari e controllo remoto.
Cosa può fare davvero ZeroDayRAT
Il ventaglio di capacità è vasto e inquietante. Innanzitutto, il modulo di logging registra quali app vengono aperte, quando e per quanto tempo, monitora SMS, notifiche, account presenti sul dispositivo e intercetta l’input dell’utente tramite un keylogger. Con l’autorizzazione al GPS il malware traccia la posizione in tempo reale e ricostruisce gli spostamenti su una mappa.
Il componente di controllo remoto consente di attivare fotocamera e microfono e di trasmettere audio e video in streaming, oltre a registrare lo schermo. Se il software riesce ad accedere agli SMS, intercetta anche le password temporanee OTP e aggira così l’autenticazione a due fattori basata su SMS.
Sul fronte finanziario ci sono moduli dedicati al furto di credenziali e alla sottrazione di fondi da wallet di criptovalute. Tra gli obiettivi citati dai ricercatori figurano MetaMask, Trust Wallet, Binance e Coinbase. Il malware tenta di manipolare la clipboard per sostituire indirizzi, mostra schermate false per carpire dati dalle app bancarie e di pagamento e prende di mira portafogli e servizi come Google Pay, Apple Pay e PayPal. In sostanza, è stato progettato per monetizzare rapidamente ogni accesso che riesce a ottenere.
Diffusione, rischi e buone pratiche per limitare il danno
iVerify non entra nel dettaglio su come ZeroDayRAT venga inizialmente distribuito, ma il comportamento osservato suggerisce una regia da attacco avanzato: il tool non è pensato per superare le difese iniziali, piuttosto per essere impiegato dopo una breccia riuscita. Tradotto: si tratta del compendio di strumenti che un operatore usa una volta ottenuto l’accesso al dispositivo della vittima.
I consigli pratici restano quelli che la comunità di sicurezza ripete da anni, ma alcuni accorgimenti meritano di essere ricordati con cura. Prima di tutto installare applicazioni solo da store ufficiali e da sviluppatori noti. Mantenere il sistema operativo e le app aggiornate riduce la finestra di esposizione a vulnerabilità note. Evitare l’uso di OTP via SMS quando è possibile: preferire app di autenticazione o chiavi hardware per l’autenticazione a due fattori. Per le criptovalute, usare wallet hardware e non tenere frasi seme o credenziali salvate su dispositivi connessi a internet.
Altri provvedimenti: limitare le autorizzazioni concesse alle app, disattivare accessi non necessari a microfono e fotocamera, attivare il blocco remoto e la cifratura del dispositivo, eseguire backup regolari e monitorare movimenti sospetti sui conti bancari. Per aziende e professionisti con dati sensibili, soluzioni di Mobile Device Management e piani di risposta agli incidenti sono il minimo sindacale. Infine, attenzione ai canali che promuovono software illegali o offerte troppo vantaggiose su Telegram: spesso sono vie di distribuzione per malware commerciali.
