Pesquisadores de cibersegurança divulgaram detalhes de uma nova plataforma de spyware móvel chamada ZeroDayRAT, promovida no Telegram como uma ferramenta para capturar dados sensíveis e realizar vigilância em tempo real em dispositivos Android e iOS.
Segundo Daniel Kelley, pesquisador da iVerify, “o desenvolvedor mantém canais dedicados para vendas, suporte ao cliente e atualizações regulares, oferecendo aos compradores um ponto único de acesso a um painel completo de spyware”.
A plataforma vai além da coleta usual de dados, permitindo vigilância em tempo real e roubo financeiro direto.
O ZeroDayRAT é compatível com Android versões 5 a 16 e iOS até a versão 26.
Acredita-se que seu método de distribuição inclua engenharia social e lojas falsas de aplicativos.
O malware é gerado por meio de um builder entregue aos compradores, que também recebem um painel online configurável em servidores próprios.
Após a infecção, o operador pode visualizar informações detalhadas do dispositivo, como modelo, localização, sistema operacional, status da bateria, SIM, operadora, uso de apps, notificações e até pré-visualizar mensagens SMS recentes.
Esse conjunto de dados permite ao invasor mapear o perfil da vítima, entender seus contatos e aplicativos mais utilizados.
O painel inclui ainda a extração das coordenadas GPS atuais e o histórico de locais visitados, com visualização em mapas do Google, transformando o software em uma ferramenta completa de espionagem.
“Um dos recursos mais preocupantes é a aba de contas”, destaca Kelley.
“Todos os perfis registrados no dispositivo são listados — Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify e outros, com nomes de usuário ou e-mails correspondentes.”
Entre as funcionalidades do ZeroDayRAT estão registro de teclas digitadas (keylogging), captura de mensagens SMS — incluindo senhas de uso único (OTPs), que permitem burlar autenticação de dois fatores —, além da ativação remota da câmera e do microfone para monitoramento em tempo real.
Para possibilitar furtos financeiros, o malware conta com um componente stealer que identifica aplicativos de carteiras digitais como MetaMask, Trust Wallet, Binance e Coinbase.
Ele substitui endereços de carteira copiados para transferir valores diretamente a uma conta controlada pelo invasor.
Há também um módulo específico para roubo em plataformas bancárias móveis, como Apple Pay, Google Pay, PayPal e PhonePe — aplicativo indiano de pagamentos digitais que utiliza o protocolo UPI para transferências instantâneas entre bancos, pessoas e comerciantes.
De acordo com Kelley, “tratase, basicamente, de um toolkit completo para comprometimento mobile, algo que antes exigiria investimentos governamentais ou desenvolvimento de exploits sob medida, mas que agora é comercializado abertamente no Telegram”.
A facilidade de uso, o suporte multiplataforma e o desenvolvimento ativo tornam o ZeroDayRAT uma ameaça crescente para usuários comuns e organizações.
Essa ameaça é similar a diversos outros malwares voltados para dispositivos móveis que vêm sendo distribuídos por meio de phishing ou infiltrados em lojas oficiais de aplicativos.
Nos últimos anos, cibercriminosos têm encontrado maneiras de contornar as proteções da Apple e do Google para induzir usuários a instalar apps maliciosos.
No iOS, ataques exploram funcionalidades de provisionamento empresarial que permitem instalar apps sem passar pela App Store.
Com o surgimento de ferramentas que combinam spyware, vigilância e roubo de informações, o nível técnico necessário para hackers menos experientes caiu significativamente, evidenciando a sofisticação e persistência das ameaças móveis.
O lançamento do ZeroDayRAT vem acompanhado de outras campanhas recentes de malware e golpes, envolvendo variados métodos e alvos:
- Um trojan de acesso remoto (RAT) para Android tem usado a plataforma Hugging Face para hospedar arquivos APK maliciosos.
A cadeia de infecção começa com um app dropper inofensivo que solicita uma “atualização”, baixando o malware que pede permissões de acessibilidade para espionagem e roubo de credenciais.
- O RAT chamado Arsink usa Google Apps Script para exfiltração de arquivos ao Google Drive, além de comandos via Firebase e Telegram.
Distribuído por Telegram, Discord e MediaFire, finge ser apps populares.
Suas infecções se concentram no Egito, Indonésia, Iraque, Iêmen e Turquia.
- Um app leitor de documentos no Google Play foi identificado como instalador do trojan bancário Anatsa (TeaBot/Toddler), acumulando mais de 50 mil downloads antes da remoção.
- O trojan bancário Android deVixor tem atacado usuários iranianos via sites de phishing que imitam negócios automotivos.
Além de roubo de dados, inclui um módulo ransomware acionado remotamente para bloquear dispositivos e exigir criptomoedas.
- A campanha ShadowRemit explora apps Android falsos e páginas que imitam o Google Play para facilitar transferências internacionais ilícitas com uso de contas falsas para receber pagamentos.
- Na Índia, uma campanha utiliza o prestígio de serviços governamentais para distribuir malware via WhatsApp, permitindo roubo de dados, controle remoto e mineração de criptomoedas.
- O trojan Triada usa páginas falsas que simulam atualizações do Chrome para enganar usuários a baixar APKs maliciosos hospedados no GitHub.
Atacantes tomam controle de contas publicitárias legítimas para distribuir seus malwares.
- Um golpe no WhatsApp usa chamadas por vídeo para se passar por funcionários bancários ou suporte Meta, solicitando compartilhamento de tela e a instalação de apps legítimos de acesso remoto (AnyDesk, TeamViewer) para furtar dados.
- Uma campanha de spyware Android no Paquistão aproveita golpes de romance para distribuir o app malicioso GhostChat.
Os operadores também usam técnicas como ClickFix e GhostPairing para controle remoto e acesso às contas do WhatsApp das vítimas.
- A família de trojans Phantom usa TensorFlow.js para detectar e interagir automaticamente com anúncios em navegadores virtuais ocultos, ou transmite ao vivo a tela do browser via WebRTC para controle manual dos atacantes.
O malware é distribuído via jogos móveis em lojas não oficiais, como a GetApps da Xiaomi.
- Um malware chamado NFCShare é disseminado por uma campanha de phishing da Deutsche Bank, que oferece uma falsa atualização para capturar dados de cartões NFC e enviá-los via WebSocket.
Similar a outras famílias de relay NFC, seu servidor C2 já foi vinculado a atividades do malware SuperCardX.
Em relatório recente, a Group-IB destacou o crescimento de malwares Android que exploram pagamentos via NFC, amplamente divulgados em comunidades cibercriminosas chinesas no Telegram.
Essa técnica, conhecida como Ghost Tap, registra transações ilegítimas que somam pelo menos US$ 355 mil entre novembro de 2024 e agosto de 2025, apenas em um fornecedor de POS.
Outro ponto identificado pela Group-IB são três grandes fornecedores de apps de relay NFC — TX-NFC, X-NFC e NFU Pay — com milhares de assinantes nesses canais desde o início de 2025.
O objetivo é induzir vítimas a instalar malware que captura dados do cartão ao aproximar o físico do smartphone, permitindo que criminosos façam pagamentos ou saques como se tivessem o cartão em mãos.
O aumento constante na detecção dessas ferramentas entre 2024 e 2025 indica expansão do uso dessa tecnologia entre fraudadores, com surgimento de novas famílias e variantes, além da manutenção das antigas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...