ZeroDayRAT è un nuovo spyware che offre un controllo totale, dai messaggi ai conti bancari

Nel panorama della sicurezza mobile, che come spesso ricordiamo dovrebbe essere affrontato con la stessa urgenza riservata ai PC, si affaccia una nuova minaccia particolarmente insidiosa: si chiama ZeroDayRAT ed è una piattaforma spyware venduta apertamente su Telegram, in grado di prendere il controllo completo di dispositivi Android e iOS senza richiedere particolari competenze tecniche a chi le utilizza.

A lanciare l’allarme è una recente analisi pubblicata dai ricercatori di iVerify, che descrive un vero e proprio kit chiavi in mano per la compromissione di smartphone e tablet; e non parliamo della classica app malevola con funzioni limitate, qui siamo di fronte a un pannello di controllo completo, accessibile via browser, da cui un operatore può monitorare posizione, messaggi, notifiche, account registrati, microfono, fotocamera e perfino intercettare codici OTP bancari.

Segui TuttoAndroid su Google Discover

Cos’è ZeroDayRAT e come viene distribuito

ZeroDayRAT è uno spyware commercializzato tramite canali Telegram dedicati alla vendita, all’assistenza e agli aggiornamenti; l’attività è stata osservata per la prima volta il 2 febbraio 2026 e, secondo il report, lo sviluppatore fornisce agli acquirenti un APK dannoso per Android (o un payload per iOS), l’accesso a una dashboard web centralizzata, nonché aggiornamenti e supporto continuativi.

Il supporto lato Android copre un arco molto ampio di versioni, da Android 5 fino ad Android 16, mentre su iOS sarebbero coinvolte anche le versioni più recenti fino a iOS 26. Un dato che, ovviamente, rende la minaccia trasversale e potenzialmente globale.

L’infezione avviene principalmente tramite smishing, la vittima riceve un SMS con un link e scarica un’app apparentemente legittima installando l’APK; ma questo non è l’unico scenario possibile, email di phishing, falsi app store, link condivisi su WhatsApp o Telegram rappresentano vettori altrettanto efficaci. Come spesso accade in questi casi, l’elemento chiave è uno solo, convincere l’utente a installare manualmente il file dannoso.

Una panoramica completa del dispositivo

Una volta compromesso lo smartphone con lo spyware ZeroDayRAT, l’operatore accede a una scheda Panoramica che riassume in un’unica schermata:

• modello del dispositivo
• versione del sistema operativo
• stato della batteria
• Paese e rete utilizzata
• informazioni su SIM e operatore
• numeri (anche dual SIM)
• utilizzo delle app suddiviso per tempo
• cronologia attività in tempo reale
• anteprima degli SMS recenti

Già questa sezione, come sottolineato nel report, è sufficiente per profilare l’utente: con chi comunica, quali app utilizza più spesso, in quali orari è attivo, a quale rete si collega.

Scorrendo ulteriormente, l’aggressore può leggere SMS intercettati, inclusi messaggi provenienti da banche e operatori telefonici.

Posizione GPS, notifiche e account

Tra le funzioni più preoccupanti di ZeroDayRAT troviamo il tracciamento GPS in tempo reale, con visualizzazioni su mappa e cronologia degli spostamenti; non solo dove si trova l’utente ora dunque, ma anche dove è stato.

A questo si aggiunge la cattura sistematica delle notifiche: nome dell’app, titolo, contenuto e timestamp. WhatsApp, Instagram, Telegram, YouTube, chiamate perse, eventi di sistema, tutto visibile senza nemmeno aprire le app.

Particolarmente delicata è la scheda Account, che elenca tutti gli account registrati sul dispositivo (Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, servizi bancari e wallet crypto) con relativi username o email. Un patrimonio di informazioni ideale per furto diretto di account, campagne di ingegneria sociale mirate, tentativi di accesso fraudolenti.

SMS, OTP e aggiornamento della 2FA

ZeroDayRAT consente anche di effettuare una ricerca completa nella posta in arrivo, inviare SMS dal numero della vittima e visualizzare i codici OTP in tempo reale.

In pratica, l’autenticazione a due fattori basata su SMS può essere aggirata con estrema facilità, e questo è un punto su cui in molti dovrebbero riflettere: la 2FA via SMS, già considerata meno sicura rispetto alle app di autenticazione, in uno scenario simile diventa del tutto inefficace.

Streaming da fotocamera, microfono e keylogging

La piattaforma non si limita alla raccolta passiva di dati, la sezione dedicata alla sorveglianza consente streaming live da fotocamera anteriore e posteriore, registrazione dello schermo, nonché accesso al microfono in tempo reale.

Il tutto combinato con un keylogger avanzato, in grado di registrare ogni input con contesto dell’app e timestamp in millisecondi: sequenze di tasti, gesti, avvi di app, perfino interazioni biometriche.

Sul pannello è presente un’anteprima dello schermo in tempo reale, così che l’aggressore possa vedere cosa fa l’utente mentre digita.

Furto bancario e criptovalute

Con un livello di accesso simile, il passaggio al furto finanziario è quasi naturale. Il modulo crypto analizza wallet come MetaMask, Trust Wallet, Binance e Coinbase, registrando ID e saldi, e può iniettare indirizzi negli appunti, sostituendo quelli copiati dall’utente con quelli dell’aggressore (una tecnica che reindirizza silenziosamente i trasferimenti).

Parallelamente, un modulo dedicato prende di mira app di online banking, piattaforme UPI, Apple Pay e PayPal, sfruttando attacchi overlay per sottrarre credenziali.

In altre parole, ZeroDayRAT unisce nello stesso pannello spionaggio completo, esfiltrazione di dati e furto diretto di denaro.

Una minaccia sofisticata alla portata di molti

Il report sottolinea un aspetto chiave, strumenti di questo livello, fino a poco tempo fa, richiedevano investimenti da parte di stati nazionali o lo sviluppo di exploit altamente specializzati; oggi invece, vengono venduti su Telegram come un qualsiasi servizio in abbonamento.

Anche se i canali di distribuzione venissero chiusi, gli acquirenti che hanno già ottenuto il kit potrebbero continuare a lanciare attacchi. Per le aziende, la compromissione di un dispositivo BYOD può tradursi in furto di credenziali e dati sensibili; per i privati, significa perdita totale della privacy e rischio finanziario diretto.

Come difendersi da ZeroDayRAT

Come sempre, la prima linea di difesa resta il buon senso:

• evitare di cliccare su link sospetti ricevuti via SMS o email
• non installare APK da fonti sconosciute
• diffidare da app che richiedono permessi eccessivi
• preferire store ufficiali

Molti di voi avranno già sentito queste raccomandazioni, ma casi come ZeroDayRAT dimostrano quanto siano ancora attuali, basta un’installazione incauta per aprire la porta a un controllo remoto totale.

La sicurezza mobile ormai non è più un tema secondario, è un pilastro fondamentale della nostra vita digitale, personale e professionale; alla luce di minacce sempre più sofisticate e facilmente reperibili, diventa evidente che utenti e aziende dovranno alzare ulteriormente l’attenzione nei prossimi mesi.