(https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fwallpapers.com%2Fimages%2Fhd%2Fmalware-pzrw3l8yqo9cfp61.jpg&f=1&nofb=1&ipt=af385873205ebf312e306bebdd783593a6275a20bd462754d68fd19e1398eb8b)
Una nueva plataforma comercial de spyware móvil, denominada ZeroDayRAT, se anuncia a ciberdelincuentes en Telegram como una herramienta que proporciona control remoto completo sobre dispositivos Android e iOS comprometidos.
El malware ofrece a los compradores un panel completo para gestionar los dispositivos infectados, y se informa que es compatible con Android 5 a 16 e iOS hasta la versión 26.
Investigadores de la empresa de detección de amenazas móviles iVerify afirman que ZeroDayRAT no solo roba datos, sino que también permite la vigilancia en tiempo real y el robo financiero.
El panel muestra dispositivos comprometidos e información sobre el modelo, la versión del sistema operativo, el estado de la batería, los detalles de la SIM, el país y el estado de bloqueo.
Descripción general del panel de control
(https://www.bleepstatic.com/images/news/u/1220909/2026/February/overview(2).jpg)
El malware puede registrar el uso de la aplicación, el cronograma de actividad y el intercambio de mensajes SMS, y proporciona una descripción general al operador.
Otras pestañas de seguimiento en el panel muestran todas las notificaciones recibidas y las cuentas registradas en el dispositivo infectado, incluyendo el correo electrónico y el ID de usuario, lo que podría permitir ataques de fuerza bruta y robo de credenciales.
Si el acceso GPS está protegido, el malware también puede rastrear a la víctima en tiempo real y mostrar su posición actual en una vista de Google Maps, con un historial de ubicaciones completo.
Seguimiento de la víctima en tiempo real
(https://www.bleepstatic.com/images/news/u/1220909/2026/February/location.jpg)
Además del registro pasivo de datos, ZeroDayRAT también admite operaciones prácticas activas, como activar las cámaras del dispositivo (frontal y trasera) y el micrófono para obtener acceso a una transmisión multimedia en vivo, o grabar la pantalla de la víctima para exponer otros secretos.
Acceder a las transmisiones de la cámara y el micrófono
(https://www.bleepstatic.com/images/news/u/1220909/2026/February/cameras.jpg)
Además, si el permiso de acceso a SMS está protegido, el malware puede capturar contraseñas de un solo uso (OTP) entrantes, lo que permite eludir la autenticación de dos factores (A2F), y también enviar SMS desde el dispositivo de la víctima.
El desarrollador del malware también incluyó un módulo de registro de pulsaciones de teclas que puede capturar la entrada del usuario, como contraseñas, gestos o patrones de desbloqueo de pantalla.
Un módulo ladrón de criptomonedas permite un mayor robo financiero. Los investigadores descubrieron que el componente activa un escáner de aplicaciones de monedero que busca MetaMask, Trust Wallet, Binance y Coinbase, registra las identificaciones y los saldos de los monederos e intenta inyectar direcciones en el portapapeles, reemplazando las direcciones de monedero copiadas por las controladas por el atacante.
Este ladrón de bancos se dirige a aplicaciones de banca en línea, plataformas UPI como Google Pay y PhonePe, y servicios de pago como Apple Pay y PayPal. El robo de credenciales se realiza mediante la superposición de pantallas falsas.
Los módulos de robo de criptomonedas y bancos
(https://www.bleepstatic.com/images/news/u/1220909/2026/February/cryptostealer.jpg)
iVerify no detalla cómo se distribuye el malware, pero afirma que ZeroDayRAT es un completo conjunto de herramientas para la vulneración de dispositivos móviles. Los investigadores advierten que un dispositivo de un empleado vulnerado podría provocar brechas de seguridad empresariales.
Para una persona, una vulneración de ZeroDayRAT podría exponer su privacidad y ocasionar pérdidas económicas.
Se recomienda a los usuarios confiar únicamente en las tiendas de aplicaciones oficiales, Google Play en Android y Apple Store en iOS, e instalar aplicaciones de editores de confianza. Los usuarios de alto riesgo deberían considerar activar el Modo de Bloqueo en iOS y la Protección Avanzada en Android.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/zerodayrat-malware-grants-full-access-to-android-ios-devices/