In Untergrundkanaelen auf Telegram wird derzeit eine neue kommerzielle Malware-Plattform mit dem Namen ZeroDayRAT beworben. Nach Analysen von Sicherheitsforschern handelt es sich um einen umfassenden Remote-Access-Trojaner (RAT) fuer Android und iOS, der klassische Spionagefunktionen mit Modulen fuer Banking-Betrug und Kryptowaehrungsdiebstahl kombiniert.
ZeroDayRAT als kommerzielle Mobile-Spionageplattform
Die Betreiber von ZeroDayRAT versprechen laut Werbematerialien Kompatibilitaet mit Android 5 bis 16 und aktuellen iOS-Versionen. Kauefer erhalten eine vollwertige Web-Konsole, in der alle kompromittierten Geraete uebersichtlich angezeigt werden: Smartphone-Modell, Betriebssystemversion, Akkustand, SIM-Informationen, Land sowie der aktuelle Verbindungsstatus.
Solche Kontrollpanels sind inzwischen Standard bei modernen mobilen RATs. Angreifer koennen dort infizierte Smartphones zentral verwalten, Befehle mit wenigen Klicks ausloesen und Aktivitaeten nahezu in Echtzeit verfolgen. Damit wird mobile Spionage zu einem skalierbaren Dienst, der sich auch von technisch weniger versierten Kriminellen nutzen laesst.
Umfassende Ueberwachung: von Nutzerdaten bis Live-Audio und -Video
Tracking des Nutzerverhaltens und Auswertung von Benutzerdaten
ZeroDayRAT protokolliert nahezu jede Interaktion auf dem infizierten Smartphone. Die Malware sammelt Informationen zu genutzten Apps, erstellt einen zeitlichen Aktivitaetsverlauf und analysiert die SMS-Historie. In der Angriffsoberflaeche werden zudem empfangene Benachrichtigungen sowie eine Liste der auf dem Geraet registrierten Konten mit E-Mail-Adressen und IDs angezeigt.
Solche Datensaetze eignen sich insbesondere fuer Credential-Stuffing- und Brute-Force-Angriffe, bei denen gestohlene Zugangsdaten automatisiert auf weiteren Diensten getestet werden. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass gestohlene und wiederverwendete Passwoerter zu den haeufigsten Ursachen erfolgreicher Kompromittierungen gehoeren.
Standortueberwachung und Bewegungsprofile
Erhaelt ZeroDayRAT Zugriff auf das GPS-Modul, zeichnet die Malware laufend den Standort des Endgeraets auf. Die Position wird in der Operator-Konsole auf einer Google-Maps-Karte visualisiert, inklusive vollstaendiger Historie der Bewegungen. Fuer Personen mit Zugang zu sensiblen Infrastrukturen, Leitstaenden oder Verhandlungssitzungen koennen daraus praezise Rueckschluesse auf Arbeitsablaeufe, Strukturen und Gewohnheiten gezogen werden.
Remote-Zugriff auf Kamera, Mikrofon und Bildschirm
ZeroDayRAT verfuegt ueber aktive Ueberwachungsfunktionen. Die Malware kann Front- und Rueckkamera verdeckt einschalten, das Mikrofon aktivieren und Audio- sowie Videodaten in Echtzeit uebertragen. Zusaetzlich ist eine Bildschirmaufzeichnung integriert, mit der sensible Inhalte direkt beim Eintippen abgegriffen werden koennen – selbst dann, wenn diese nicht im Protokoll oder in der Zwischenablage landen.
Banking-Trojaner und Kryptodiebstahl in einer Plattform
Abfangen von SMS und Einmalpasswoertern (OTP)
Ein zentrales Modul von ZeroDayRAT zielt auf SMS-Nachrichten ab. Die Malware liest eingehende Einmalcodes (One-Time Passwords, OTP) mit, die von Banken, Fintech-Diensten und Messengern fuer Login und Transaktionsfreigaben genutzt werden. Damit lassen sich SMS-basierte Zwei-Faktor-Authentifizierungen (2FA) umgehen und Aktionen im Namen des Opfers ausfuehren oder tarnen.
Keylogger und Entsperren des Endgeraets
In ZeroDayRAT ist ein Keylogger integriert, der Tastatureingaben, PINs, Entsperr-Gesten und Muster erfasst. Dadurch koennen Angreifer nicht nur Zugangsdaten zu einzelnen Apps stehlen, sondern oft auch die Bildschirmsperre des Geraets ueberwinden. Das erschwert sowohl die Incident Response als auch die forensische Analyse, weil die Taeter im Zweifel direkten physischen oder Remote-Zugriff auf das komplett entsperrte Smartphone erlangen.
Angriffe auf Kryptowallets und Clipboard-Manipulation
Ein weiterer Schwerpunkt sind Kryptowaehrungen. ZeroDayRAT durchsucht das System nach bekannten Kryptowallet-Apps wie MetaMask, Trust Wallet, Binance, Coinbase und anderen. Wird eine Wallet gefunden, versucht die Malware Informationen zu Wallet-IDs und Kontostaenden zu extrahieren.
Zusaetzlich kommt eine typische Technik aus der Finanzmalware zum Einsatz: die Manipulation der Zwischenablage (Clipboard-Hijacking). Sobald ein Nutzer eine Wallet-Adresse kopiert, ersetzt ZeroDayRAT diese unbemerkt durch eine Adresse, die unter Kontrolle der Angreifer steht. Ueberweisungen gehen dann direkt an die Kriminellen, ohne dass der Nutzer dies auf den ersten Blick bemerkt.
Banking-Overlays auf mobilen Zahlungs-Apps
Der Banking-Trojaner innerhalb von ZeroDayRAT richtet sich gegen Mobile-Banking-Apps, UPI-Plattformen wie Google Pay und PhonePe sowie Dienste wie Apple Pay und PayPal. Hierbei verwendet die Malware Overlay-Angriffe: Ueber die echte App wird ein gefaelschtes, nahezu identisches Fenster gelegt. Gibt der Nutzer dort Login-Daten, PINs oder Kartendaten ein, werden diese direkt an den Command-and-Control-Server uebermittelt.
Folgen fuer Unternehmen und Privatnutzer
ZeroDayRAT stellt einen vollstaendigen Werkzeugkasten zur Kompromittierung mobiler Endgeraete dar. In Unternehmensumgebungen kann ein einziges infiziertes Smartphone bereits ausreichen, um Geschaeftskorrespondenz, vertrauliche Dokumente, VPN-Zugangsdaten oder Secrets aus Passwort-Managern und MFA-Apps zu exfiltrieren. Damit steigt das Risiko von Spionage, Erpressung und seitlichen Bewegungen im Unternehmensnetzwerk deutlich.
Fuer Privatpersonen drohen eine massive Verletzung der Privatsphaere durch verdeckte Audio- und Videoaufnahmen sowie Standorttracking, direkte finanzielle Schaeden durch Konten- und Kryptodiebstahl und der Verlust von Social-Media- und Messenger-Konten. Haeufig schliessen sich an einen solchen Vorfall weitere Angriffe auf Familienangehoerige und Kontakte des Opfers an – etwa durch Phishing, Betrugsanrufe oder Social Engineering.
Schutz vor ZeroDayRAT und aehnlichen mobilen RATs
Da ZeroDayRAT auf eine breite Palette von Android- und iOS-Versionen zielt, ist die Reduktion der Angriffsoberflaeche entscheidend. Bewaehrte Massnahmen umfassen:
1. Apps nur aus offiziellen Quellen installieren. Anwendungen sollten ausschliesslich aus Google Play, dem Apple App Store oder vertrauenswuerdigen Enterprise-Stores stammen. Seitenaus dem Web geladene APKs, gecrackte Apps und Installationslinks aus Messengern – insbesondere Telegram-Channels – sind ein erhebliches Risiko.
2. Berechtigungen konsequent pruefen und einschraenken. Zugriffe auf Kamera, Mikrofon, SMS, Standort, Bildschirmfreigabe oder Funktionen der Bedienungshilfen sollten nur Apps erhalten, deren Zweck klar ist. Unbekannte Anwendungen mit weitreichenden Rechten sind ein Warnsignal und sollten entfernt werden.
3. Betriebssystem und Apps regelmaessig aktualisieren. Sicherheitsupdates schliessen Schachstellen, die fuer die unbemerkte Installation oder Rechteausweitung von Malware ausgenutzt werden koennen. Automatische Updates sollten, wo moeglich, aktiviert sein.
4. Starke Multi-Faktor-Authentifizierung nutzen. Wann immer moeglich sollte von SMS-basierten Codes auf Authenticator-Apps oder Hardware-Sicherheitsschluessel umgestellt werden. Dies reduziert die Wirksamkeit von SMS- und OTP-Abgriff deutlich.
5. Mobile Threat Defense und MDM in Unternehmen einsetzen. Organisationen sollten spezialisierte Mobile-Threat-Defense-Loesungen und Mobile-Device-Management (MDM) nutzen, um Sicherheitsrichtlinien zentral durchzusetzen, kompromittierte oder gerootete Geraete zu erkennen und bei Bedarf den Zugriff auf Unternehmensressourcen automatisiert zu sperren.
ZeroDayRAT verdeutlicht, wie weit Mobile Malware inzwischen entwickelt ist: Smartphones sind fuer Angreifer keine Nebenziel mehr, sondern eine primare Angriffsplattform. Wer fruehzeitig in robuste Mobile-Security-Strategien investiert, von der kontrollierten App-Installation bis hin zu MTD-Loesungen, senkt das Risiko erheblich, dass ein einziges kompromittiertes Telefon zu einem Werkzeug fuer verdeckte Ueberwachung, Datendiebstahl und finanziellen Schaden wird.
