ZeroDayRat, lo spyware mobile “chiavi in mano” che trasforma Android e iOS in strumenti di sorveglianza totale

ZeroDayRat rappresenta un salto di qualità nel mercato commerciale dello spyware mobile, perché abbassa drasticamente la barriera d’ingresso alla sorveglianza avanzata. Scoperto il 2 febbraio 2026 da Daniel Kelley, ricercatore di minacce presso iVerify, il tool viene venduto apertamente su Telegram come prodotto pronto all’uso, completo di pannello di controllo centralizzato. L’elemento più critico non è solo la profondità delle funzionalità, ma il fatto che operatori senza competenze tecniche possano ottenere accesso completo e persistente a dispositivi Android (versioni 5–16) e iOS (fino alla versione 26, inclusi iPhone 17 Pro).

ZeroDayRat non si limita alla raccolta di dati. È progettato per sorveglianza in tempo reale, controllo remoto, esfiltrazione di credenziali e furto finanziario diretto, trasformando lo smartphone della vittima in un sensore continuo di posizione, comunicazioni e attività economica.

Dalla consegna del payload alla persistenza invisibile

A differenza di campagne che sfruttano zero-day documentati, ZeroDayRat punta su vettori di infezione a basso costo ma ad alta efficacia. L’installazione richiede la consegna di un APK malevolo su Android o di un payload per iOS, veicolati tramite smishing, email di phishing, app store falsi o link condivisi su WhatsApp e Telegram. Il messaggio è quasi sempre costruito per apparire legittimo, spingendo l’utente a installare manualmente l’app.

Una volta installato, lo spyware opera in background, richiede permessi estesi, elude i controlli standard e mantiene persistenza. Questo lo rende particolarmente pericoloso in contesti BYOD e su dispositivi personali usati anche per lavoro, dove la compromissione mobile diventa un ponte verso asset aziendali.

Un pannello unico per profilare l’intera vita digitale

Il cuore di ZeroDayRat è un dashboard centralizzato che fornisce una vista completa del dispositivo compromesso. L’operatore visualizza modello, sistema operativo, stato del blocco, batteria, paese, SIM e operatore, oltre a pattern di utilizzo delle app e una timeline delle attività. Questo consente una profilazione comportamentale dettagliata, utile sia per sorveglianza prolungata sia per attacchi mirati successivi.

Il modulo di tracciamento della posizione estrae coordinate GPS e le plottà su Google Maps, mantenendo uno storico che consente di ricostruire spostamenti passati o seguire la vittima in tempo reale. Gli esempi osservati da iVerify mostrano dispositivi monitorati in India e Stati Uniti, ma la natura del tool è chiaramente agnostica rispetto alla regione.

Notifiche, comunicazioni e OTP sotto controllo

ZeroDayRat intercetta notifiche di sistema e app come WhatsApp, Instagram, Telegram, YouTube, chiamate perse ed eventi di sistema. Questa visibilità passiva consente di leggere messaggi senza interagire direttamente con il dispositivo, riducendo il rischio di allertare la vittima.

L’accesso agli SMS è uno degli elementi più critici. L’operatore può ricercare l’intera inbox, inviare messaggi dal numero della vittima e, soprattutto, visualizzare OTP in arrivo, aggirando di fatto l’autenticazione a due fattori basata su SMS. Questo trasforma lo spyware in un abilitatore diretto di account takeover.

Sorveglianza attiva: camera, microfono e schermo

Oltre alla raccolta passiva, ZeroDayRat abilita sorveglianza live. È possibile avviare streaming della camera frontale e posteriore, registrare lo schermo in tempo reale e ascoltare l’audio ambientale tramite il microfono. Queste funzioni possono essere combinate con il GPS, permettendo di vedere, ascoltare e localizzare simultaneamente la vittima.

La presenza di keylogging avanzato amplia ulteriormente il perimetro: il malware cattura keystroke, gesture, sblocchi biometrici, avvio delle app, associando ogni evento a timestamp millisecondi e, in alcuni casi, a anteprime dello schermo. È una telemetria completa del comportamento digitale dell’utente.

Furto finanziario diretto e mirato

ZeroDayRat è progettato esplicitamente per la monetizzazione. Il modulo finanziario prende di mira wallet crypto come MetaMask, Trust Wallet, Binance e Coinbase, registrando ID, saldi e sfruttando clipboard injection per sostituire gli indirizzi di destinazione durante i trasferimenti.

Sul fronte bancario, lo spyware attacca online banking, UPI e pagamenti digitali come PhonePe, Google Pay, Apple Pay e PayPal, utilizzando overlay per catturare credenziali. In questo scenario, lo smartphone diventa il punto di compromissione definitivo: l’utente vede l’interfaccia legittima, mentre l’attaccante raccoglie tutto ciò che serve per svuotare conti e wallet.

Impatto e indicatori di compromissione

Le vittime potenziali includono individui e organizzazioni, con conseguenze che vanno dalla violazione della privacy alla perdita finanziaria, fino al furto di identità e alla compromissione di account personali e aziendali. Gli indicatori di compromissione includono la presenza di APK o payload sconosciuti, permessi anomali, traffico di rete sospetto verso server C2 e comportamenti fuori norma del dispositivo.

Il fatto che ZeroDayRat non faccia affidamento su exploit pubblici specifici rende il fenomeno ancora più insidioso: la sicurezza mobile non può più basarsi solo sulle patch.

Perché ZeroDayRat cambia il panorama delle minacce mobili

La scoperta di ZeroDayRat segna un punto di svolta perché dimostra come la sorveglianza mobile avanzata sia ormai un prodotto di consumo criminale, accessibile tramite canali pubblici e supportata da interfacce user-friendly. Come sottolinea iVerify, la sicurezza mobile deve essere trattata con la stessa urgenza di endpoint ed email, integrando EDR mobile, capacità di forensics on-device e monitoraggio continuo.

ZeroDayRat non è solo un nuovo spyware. È l’indicatore di un mercato maturo in cui smartphone e pagamenti digitali diventano il bersaglio primario. Ignorare la superficie mobile oggi significa accettare un punto cieco critico nella postura di sicurezza complessiva.