En canales clandestinos de Telegram ha aparecido ZeroDayRAT, una nueva plataforma comercial de spyware móvil y troyano de acceso remoto (RAT) diseñada para dispositivos Android e iOS. Según análisis de la firma de seguridad iVerify, esta familia de malware reúne en una sola herramienta capacidades de vigilancia, troyano bancario y módulo especializado en el robo de criptomonedas, ofreciendo a los atacantes control casi total de los teléfonos comprometidos.
ZeroDayRAT: compatibilidad amplia con Android e iOS y panel de control para atacantes
La publicidad de ZeroDayRAT en Telegram afirma compatibilidad con Android desde la versión 5 hasta la 16 y con iOS hasta la versión 26. El paquete incluye una consola web de administración donde el operador visualiza cada dispositivo infectado: modelo de smartphone, versión del sistema operativo, nivel de batería, datos de la SIM, país y estado de conexión en tiempo real.
Este tipo de panel centralizado se ha convertido en el estándar de los RAT móviles: el ciberdelincuente obtiene un “tablero de mando” desde el que puede ejecutar acciones en masa sobre múltiples terminales, automatizar campañas de fraude y segmentar a las víctimas según su perfil técnico o financiero.
Capacidades de espionaje: vigilancia total de la actividad del usuario
Registro de actividad, perfilado y abuso de credenciales
ZeroDayRAT monitoriza de forma persistente la actividad del usuario en el dispositivo. El malware recopila eventos en aplicaciones, construye un perfil de comportamiento y una línea temporal de uso, analiza el historial de SMS y genera resúmenes accesibles desde el panel del operador. También lista las cuentas configuradas en el terminal con sus emails e identificadores asociados.
Estas credenciales robadas pueden utilizarse en ataques de fuerza bruta y credential stuffing, donde se prueban automáticamente combinaciones de usuario y contraseña en otros servicios (correo, redes sociales, banca, fintech). Diversos estudios de ciberseguridad coinciden en que el reutilizado de contraseñas sigue siendo uno de los factores que más contribuye a la materialización de intrusiones exitosas.
Seguimiento de geolocalización y movimientos
Con acceso al GPS, ZeroDayRAT permite rastrear en continuo la ubicación del dispositivo, representando las coordenadas en Google Maps y almacenando el histórico completo de desplazamientos. Para personal con acceso a infraestructuras sensibles, este patrón de movilidad puede exponer horarios, rutas habituales y puntos de encuentro, facilitando desde el reconocimiento físico de instalaciones hasta ataques dirigidos (por ejemplo, secuestro de sesión en redes Wi‑Fi habituales).
Control remoto de cámara, micrófono y pantalla
El spyware integra funciones de vigilancia activa: puede activar en segundo plano las cámaras frontal y trasera, habilitar el micrófono y transmitir audio y vídeo en tiempo real al panel de mando. Además, la función de grabación de pantalla permite capturar información sensible introducida en aplicaciones (como credenciales o datos de tarjetas) incluso cuando no se almacena en registros locales ni en el portapapeles.
Troyano bancario móvil y módulo de robo de criptomonedas
Intercepción de SMS y códigos de un solo uso (OTP)
ZeroDayRAT puede interceptar SMS entrantes y, con ello, capturar códigos de un solo uso (OTP) emitidos por bancos, fintech y servicios de mensajería para confirmar operaciones y autenticaciones. Esto posibilita el salto de barrera de la autenticación en dos factores basada en SMS, y permite además abusar de la línea de la víctima para enviar mensajes fraudulentos con apariencia legítima.
Keylogger y compromiso del propio dispositivo
El malware integra un keylogger capaz de registrar todo el input del usuario: contraseñas, PIN, patrones de desbloqueo y gestos. De este modo, el atacante no solo obtiene acceso a aplicaciones concretas, sino que puede desbloquear el terminal, lo que complica el análisis forense y alarga la persistencia del compromiso.
Robo de criptomonedas y sustitución de direcciones
Un módulo específico de ZeroDayRAT está orientado a usuarios de criptomonedas. El troyano busca en el dispositivo wallets populares como MetaMask, Trust Wallet, Binance o Coinbase, intenta extraer identificadores de monederos e información de saldos y ejecuta una técnica de reemplazo de direcciones en el portapapeles: cuando el usuario copia una dirección de wallet, el malware la sustituye por otra controlada por los atacantes, derivando los fondos a sus cuentas en operaciones aparentemente legítimas.
Overlay bancario sobre apps legítimas
El componente bancario de ZeroDayRAT apunta a aplicaciones de banca móvil, plataformas UPI como Google Pay y PhonePe, y servicios de pago como Apple Pay y PayPal. Para robar credenciales utiliza ventanas superpuestas (overlays): una pantalla falsa, visualmente idéntica a la legítima, se muestra sobre la aplicación real. El usuario introduce usuario, contraseña, PIN o datos de tarjeta, que se envían al instante al panel del atacante.
Impacto para empresas y usuarios: del espionaje a la pérdida financiera
Aunque el vector de distribución exacto de ZeroDayRAT no se ha detallado públicamente, su diseño muestra un kit completo para la toma de control de dispositivos móviles. En entornos corporativos, la infección de un solo smartphone puede derivar en fuga de correo profesional, documentos sensibles, configuraciones de VPN, secretos de gestores de contraseñas y tokens de aplicaciones MFA, debilitando el perímetro de seguridad de toda la organización.
Para usuarios particulares, los riesgos abarcan desde la pérdida total de privacidad (escucha ambiental, grabación oculta, rastreo de ubicación) hasta fraude económico directo mediante el robo de credenciales bancarias y de criptomonedas. Además, el control de cuentas en redes sociales y mensajería ofrece a los atacantes un canal eficaz para lanzar campañas de phishing y ingeniería social contra contactos y familiares.
Medidas de protección frente a ZeroDayRAT y otros troyanos móviles
La amplitud de versiones de Android e iOS soportadas por ZeroDayRAT subraya la necesidad de reforzar la seguridad en smartphones. Entre las buenas prácticas recomendadas destacan:
1. Instalar apps solo desde tiendas oficiales. Evitar repositorios de terceros, APK piratas, versiones “modificadas” y enlaces de instalación distribuidos por mensajería, incluido Telegram.
2. Revisar y limitar permisos de aplicaciones. Cualquier app desconocida con acceso a cámara, micrófono, SMS, servicios de accesibilidad o grabación de pantalla debe considerarse sospechosa y, en caso de duda, desinstalarse.
3. Mantener sistema y aplicaciones actualizados. Los parches corrigen vulnerabilidades que pueden aprovecharse para la instalación silenciosa de spyware o la elevación de privilegios.
4. Migrar a factores de autenticación más robustos. Siempre que sea posible, sustituir OTP por SMS por apps autenticadoras o llaves de seguridad físicas reduce drásticamente el valor del robo de SMS para el atacante.
5. Implementar soluciones Mobile Threat Defense (MTD) y MDM en empresas. Las organizaciones deberían desplegar plataformas que permitan gestión centralizada de dispositivos, detección de terminales rooteados o comprometidos y control de acceso a recursos corporativos en función del estado de seguridad del móvil.
La aparición de ZeroDayRAT confirma una tendencia clara: el teléfono móvil se ha convertido en objetivo prioritario de la ciberdelincuencia, no solo en un canal auxiliar de ataque. Potenciar la higiene digital, invertir en soluciones específicas de protección móvil y formar a usuarios y empleados ya no es opcional. Cuanto antes se adopten estas medidas, menor será la probabilidad de que un spyware de nueva generación convierta el smartphone personal o corporativo en una herramienta de vigilancia encubierta y de robo sistemático de dinero e información.
