Software espía móvil ZeroDayRAT
Investigadores de ciberseguridad han descubierto una sofisticada plataforma de spyware móvil conocida como ZeroDayRAT, que actualmente se promociona en Telegram como una solución integral para extraer datos confidenciales y realizar vigilancia en tiempo real en dispositivos Android e iOS. Comercializada como una suite de espionaje lista para usar, la plataforma va mucho más allá de la recolección de datos y se adentra en la monitorización activa y la explotación financiera directa.
El operador mantiene canales de Telegram dedicados a ventas, atención al cliente y actualizaciones continuas, lo que proporciona a los compradores acceso centralizado a un ecosistema de spyware completamente funcional. Este modelo de distribución optimizado reduce significativamente las barreras de entrada para los ciberdelincuentes que buscan capacidades de vigilancia avanzadas.
Tabla de contenido
Amplia compatibilidad de dispositivos e implementación flexible
ZeroDayRAT es compatible con las versiones de Android 5 a 16 y de iOS hasta la 26, lo que garantiza una amplia cobertura de dispositivos. Se cree que el malware se distribuye principalmente mediante campañas de ingeniería social y plataformas de aplicaciones fraudulentas diseñadas para engañar a los usuarios y que instalen aplicaciones maliciosas.
Los compradores reciben un generador de malware que genera binarios maliciosos personalizados. Estos binarios se gestionan mediante un panel de control en línea que los operadores pueden implementar en sus propios servidores, lo que les otorga control administrativo total sobre los dispositivos infectados.
Inteligencia integral de dispositivos y seguimiento de ubicación
Una vez instalado, ZeroDayRAT proporciona a los operadores una amplia visibilidad del dispositivo comprometido. A través de un panel de administración autoalojado, los atacantes pueden acceder a información detallada como el modelo del dispositivo, la versión del sistema operativo, el estado de la batería, los datos de la tarjeta SIM, la información del operador, el uso de las aplicaciones, el contenido de las notificaciones y vistas previas de los mensajes SMS recientes. Esta información permite a los actores de amenazas crear perfiles detallados de las víctimas, incluyendo patrones de comunicación y aplicaciones de uso frecuente.
La plataforma también captura coordenadas GPS en tiempo real y las mapea mediante Google Maps, además de mantener un registro histórico de los movimientos de la víctima. Este rastreo continuo de geolocalización convierte el dispositivo infectado en una herramienta de vigilancia continua.
Enumeración de cuentas y exposición de credenciales
Una característica especialmente preocupante es el panel "Cuentas", que enumera todas las cuentas registradas en el dispositivo infectado. Esto incluye servicios ampliamente utilizados como:
- Google, WhatsApp, Instagram, Facebook, Telegrama
- Amazon, Flipkart, PhonePe, Paytm y Spotify
Los nombres de usuario o direcciones de correo electrónico asociados también quedan expuestos, lo que permite la recolección de credenciales, la elaboración de perfiles de identidad y posibles intentos de apropiación de cuentas.
Vigilancia avanzada y omisión de autenticación de dos factores
ZeroDayRAT incorpora diversas funciones de vigilancia e interceptación intrusivas. Estas incluyen:
- Registro de pulsaciones de teclas para capturar credenciales y comunicaciones privadas
- Extracción de mensajes SMS, incluidas contraseñas de un solo uso (OTP) utilizadas para omitir la autenticación de dos factores
- Transmisión de cámara en tiempo real y activación de micrófono para monitoreo audiovisual en vivo
Estas características permiten a los adversarios realizar una vigilancia práctica e interactiva, convirtiendo los dispositivos comprometidos en activos de recopilación de inteligencia remota.
Módulos integrados de criptomonedas y robo bancario
Además de la vigilancia, el malware integra mecanismos de robo financiero. Un componente ladrón de criptomonedas escanea aplicaciones de monedero como MetaMask, Trust Wallet, Binance y Coinbase. Cuando una víctima copia la dirección de un monedero al portapapeles, el malware la sustituye por una dirección controlada por el atacante, redirigiendo las transacciones sin que el usuario se dé cuenta.
Un módulo dedicado a la piratería bancaria también ataca servicios de pago digitales, como Apple Pay, Google Pay, PayPal y PhonePe. PhonePe aprovecha la Interfaz Unificada de Pagos (UPI) de la India, un protocolo diseñado para facilitar las transacciones entre bancos y entre particulares, lo que lo convierte en un objetivo atractivo para actores con motivaciones económicas.
Amenazas de espionaje móvil en evolución
ZeroDayRAT representa un marco de vulnerabilidad móvil completamente integrado. Las capacidades que antes requerían recursos estatales o el desarrollo de exploits personalizados ahora están disponibles comercialmente a través de Telegram. Un solo operador puede acceder, a través del navegador, a los datos de ubicación, comunicaciones, cuentas financieras, la señal de la cámara, la entrada del micrófono y las pulsaciones de teclas de la víctima.
El malware se alinea con una tendencia más amplia de amenazas móviles que explotan campañas de phishing y se infiltran en las tiendas oficiales de aplicaciones. Los atacantes han identificado repetidamente métodos para evadir las medidas de seguridad implementadas por Apple y Google, a menudo manipulando a los usuarios para que instalen aplicaciones maliciosas.
En dispositivos iOS, las campañas suelen abusar de los mecanismos de aprovisionamiento empresarial que permiten a las organizaciones distribuir aplicaciones fuera de la App Store oficial. Al comercializar paquetes de spyware que combinan funciones de vigilancia y robo financiero, los actores de amenazas continúan reduciendo las barreras técnicas para los ciberdelincuentes menos experimentados, a la vez que amplifican la sofisticación y la persistencia de los ataques dirigidos a dispositivos móviles.
ZeroDayRAT subraya una realidad crítica: las capacidades avanzadas de vigilancia móvil y explotación financiera ya no se limitan a los grupos de amenazas de élite, sino que son cada vez más accesibles dentro del mundo clandestino del cibercrimen.
