ZeroDayRAT: il nuovo spyware Android che vede tutto e svuota il conto

Un nuovo spyware per Android torna a ricordarci quanto basti un APK installato con leggerezza per consegnare il telefono in mano ad altre persone.

Si chiama ZeroDayRAT e circola su Telegram, dove chiunque, anche senza grandi competenze tecniche, può acquistare un kit già pronto per spiare dispositivi, con accesso profondo a dati personali, posizione e persino informazioni bancarie.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

ZeroDayRAT è un toolkit spyware pensato per prendere il controllo di dispositivi Android con un approccio chiavi in mano: da una parte un APK malevolo da far installare al bersaglio, dall’altra una dashboard che offre una panoramica dettagliata sul telefono infetto.

Secondo il rapporto di iVerify, che ha scovato e illustrato nel dettaglio la minaccia, il kit viene venduto su Telegram almeno dalla scorsa settimana, attraverso canali dedicati che distribuiscono il pacchetto agli interessati. Una volta ottenuti gli strumenti, ogni singolo attaccante può continuare a usarli anche se i canali originali dovessero sparire.

Il punto critico resta sempre lo stesso: serve che la vittima installi manualmente l’APK specifico. Il vettore di attacco passa quindi da link sospetti e app fuori dal Play Store, che aprono la porta al controllo remoto del dispositivo.

Il toolkit ZeroDayRAT prende di mira un’ampia gamma di versioni di Android, dalle più datate alle più recenti.

Il rapporto indica compatibilità con Android da 5.0 Lollipop fino all’attuale Android 16, coprendo quindi una fetta enorme del parco dispositivi in circolazione.

Questo significa che il problema non riguarda solo telefoni vecchi o abbandonati: lo spyware punta anche a smartphone aggiornati, se l’utente concede l’accesso installando l’APK malevolo.

Una volta installato l’APK ZeroDayRAT, l’attaccante accede a una dashboard che espone una grande quantità di informazioni sul dispositivo infetto.

Tra i dati disponibili compaiono modello del telefono, versione del sistema operativo, numero di telefono, dati della SIM e altri dettagli tecnici, insieme all’elenco delle app installate.

Lo spyware registra anche un log di tutte le notifiche in arrivo, permettendo di seguire in tempo reale cosa succede sul dispositivo, dalle chat ai servizi usati più spesso.

ZeroDayRAT non si limita ai dati statici: il kit consente di tracciare la posizione del bersaglio in tempo reale, trasformando il telefono in un vero dispositivo di pedinamento digitale.

Gli attaccanti possono consultare le informazioni di tutti gli account registrati sul dispositivo, aumentando il valore dei dati raccolti in ottica di furto di identità o accesso ai servizi online.

Lo spyware offre anche accesso in tempo reale a fotocamera e microfono, con la possibilità di avviare flussi live e persino di vedere in diretta cosa compare sul display, grazie a una visualizzazione continua dello schermo.

Un altro tassello delicato riguarda la gestione di SMS e codici OTP: ZeroDayRAT consente di leggere i messaggi, compresi quelli usati per la verifica a due fattori, riducendo di molto la protezione offerta da questi sistemi.

Il toolkit integra anche funzioni di keylogging, che permettono di registrare ciò che viene digitato sul dispositivo. In questo modo, credenziali bancarie e accessi ai servizi finanziari diventano un bersaglio diretto.

Lo spyware può inoltre iniettare contenuti nella clipboard, modificando ciò che viene copiato e incollato. Questa funzione si presta a deviare transazioni in criptovaluta, sostituendo l’indirizzo del portafoglio del destinatario con quello controllato dall’attaccante.

Nel rapporto, i ricercatori sottolineano che un livello di sofisticazione di questo tipo, in passato, richiedeva investimenti da attori statali, mentre ora arriva in forma di kit commerciale distribuito su Telegram.

Anche se l’analisi si concentra sull’impatto su Android, i ricercatori segnalano che le versioni più recenti di iOS risultano anch’esse coinvolte, a conferma di una strategia che punta al maggior numero possibile di piattaforme.

Il problema non si esaurisce con l’eventuale chiusura dei canali Telegram originali: chi ha già acquistato ZeroDayRAT può continuare a lanciare attacchi in autonomia, sfruttando gli strumenti ottenuti.

L’accesso al dispositivo richiede sempre l’installazione manuale dell’APK da parte del bersaglio, e qui rientrano in gioco le solite abitudini rischiose: clic su link non verificati, download da siti sconosciuti, installazione di app da fonti alternative senza alcun controllo.

Quanto appena descritto da iVerify ci ricorda quindi l’importanza di attenersi al Play Store per le app e di mantenere un atteggiamento prudente verso allegati, link e canali che propongono software “miracolosi” o versioni modificate di applicazioni note.

Pertanto, il miglior modo per difendersi è essere prudenti e diffidenti verso l’installazione di app che non conosciamo, soprattutto quando la fonte non è verificata e ufficiale.