Marzo 5, 2026
Random News

AmmassiIT

Digital AI

Cambia lingua:

Condividi

Newsletter

Home » ZeroDayRAT: il nuovo spyware Android che vede tutto e svuota il conto

ZeroDayRAT: il nuovo spyware Android che vede tutto e svuota il conto

Redazione010 mins
Tempo di lettura: 4 minuti

ZeroDayRAT è un nuovo spyware Android (e iOS) che, una volta installato, dà agli attaccanti controllo quasi totale sul dispositivo vittima, con funzionalità mirate anche al furto di denaro dai conti e dai wallet cripto.

Cos’è ZeroDayRAT

  • È un kit commerciale di spyware mobile, venduto in chiaro su Telegram a cybercriminali “low‑skill” che lo usano come “remote access toolkit” completo.
  • Supporta Android e iOS, agisce anche su dispositivi aggiornati (es. Android 16 / iOS 26) e viene pubblicizzato come una soluzione all‑in‑one per sorveglianza e furto dati.

Cosa “vede” e cosa può fare

  • Sorveglianza continua:
    • Lettura SMS, messaggi, notifiche (WhatsApp, Telegram, Instagram, ecc.), registrazioni delle app usate e cronologia attività.
    • Accesso in tempo reale alle fotocamere frontali/posteriori e al microfono, con streaming video/audio direttamente dal pannello dell’attaccante.
  • Posizione e account:
    • Tracciamento GPS con cronologia posizioni visualizzabile su una mappa integrata (Google Maps‑like).
    • Estrazione di tutti gli account registrati sul dispositivo (Google, Facebook, WhatsApp, Telegram, Amazon, Paytm, ecc.), utili per profile‑mining e social‑engineering.
  • Keylogging e OTP:
    • Log dei tasti premuti e delle gesture, inclusi pattern di sblocco e password inserite in app sensibili.
    • Compromissione di SMS OTP e codici 2FA, neutralizzando così l’auth a due fattori basata su SMS.

Come svuota il conto

  • Modulo banking stealer:
    • Overlay su app di mobile banking, UPI (PhonePe, Google Pay) e servizi tipo Apple Pay / PayPal, per rubare credenziali, PIN e OTP durante l’accesso.
    • L’attaccante può poi compiere bonifici o pagamenti immediatamente dopo la cattura dati di accesso.
  • Crypto stealer:
    • Ricerca automatica di wallet note (MetaMask, Trust Wallet, Binance, Coinbase, ecc.) per estrarne ID, bilanci e dati.
    • Clipboard hijacking: quando copi un indirizzo wallet, lo sostituisce con quello del criminale, quindi il trasferimento finisce nel conto sbagliato.

Come si diffonde

  • Modalità tipiche: smishing (SMS con link a fake app), email phishing, app fasulle su store non‑ufficiali e link condivisi via messaggistica (Telegram, WhatsApp, ecc.).
  • L’attaccante genera APK / IPA custom hostati su server gestiti dallo stesso venditore del kit, legati a un pannello web personale per gestire tutte le vittime.

Come difendersi (da sysadmin‑oriented POV)

  • Niente sideloading da fonti non fidate; se possibile, imporre Play Protect + verifiche enterprise (MDM) per bloccare source “Unknown”.
  • Evitare di verificare numeri sconosciuti o cliccare link in SMS/email non attesi (specialmente se “virus”, “fattura”, “servizio pubblico”, “pacco”).
  • Due‑factor senza SMS: preferire TOTP (Google/Microsoft Authenticator) o fichi hardware; in ambito work‑device, applicare SSO + MFA push / certificati client.
  • Per telefoni aziendali o “high‑risk”:
    • Hardening firmware + policy restrictive, logging centralizzato di eventi anomali, integrazione con servizi di rilevamento mobile‑threat (MTR) tipo iVerify‑based frameworks.

Rimuovere ZeroDayRAT da un Android richiede una scansione approfondita, disinstallazione forzata e, se necessario, reset. Non ci sono tool specifici per ZeroDayRAT al momento (essendo nuovo), ma segui questi passi basati su guide ufficiali Google e Kaspersky per spyware simili.

Passo 1: Attiva protezioni Google

  • Apri Google Play Store > Profilo > Play Protect > Impostazioni.
  • Attiva “Analizza le app con Play Protect” e “Migliora rilevamento app dannose” (essenziale per APK da fonti esterne).
  • Esegui scansione immediata: tocca “Scansiona”. Play Protect rileva e blocca molti spyware come ZeroDayRAT.

Passo 2: Identifica e rimuovi app sospette

  • Vai su Impostazioni > App > Vedi tutte le app.
  • Cerca app recenti, sconosciute o da fonti non-Play Store (ZeroDayRAT arriva spesso come APK fake via SMS/link). Ordina per “Installate di recente”.
  • Tocca l’app sospetta > Disinstalla. Se non si disinstalla:
    • Controlla Amministratori dispositivo (Impostazioni > Sicurezza > Avanzate > Amministratori dispositivo): disattiva permessi per app maligne.
    • Revoca AccessibilitàSMSCamera/Microfono e Posizione (Impostazioni > App > [App] > Permessi).

Passo 3: Scansione con antivirus

  • Installa un AV affidabile dal Play Store: Kaspersky AntivirusMalwarebytes o Bitdefender Mobile Security (gratuiti per base scan).
  • Esegui scansione completa: questi tool rilevano RAT/spyware avanzati, inclusi keylogger e stealer come in ZeroDayRAT.
  • Rimuovi minacce trovate e riavvia il device.

Passo 4: Pulizia avanzata e verifica

  • Cambia tutte le password (Google, banking, wallet) da un device pulito, usando 2FA app-based (non SMS, vulnerabile a ZeroDayRAT).
  • Controlla Notifiche > SMS sospetti e cancella log app (ma non panico se hai già accesso al pannello criminale).
  • Aggiorna OS e app: Impostazioni > Sistema > Aggiornamenti.

Se non basta: Factory Reset

  • Ultima risorsa: Impostazioni > Sistema > Opzioni reset > Cancella tutti i dati (ripristino factory).
  • Backup solo dati essenziali (foto/cloud) da device verificato, poiché RAT potrebbe persistere.
  • Dopo reset: non ripristinare backup sospetti; configura da zero.

Per sysadmin: in flotta aziendale, usa MDM (Intune/Google Workspace) per wipe remoto + policy no-sideloading. Se sospetti infezione attiva, isola il device dalla rete.

Sì, ZeroDayRAT infetta anche iOS (fino a iOS 26) tramite payload custom, spesso via smishing o profili enterprise abusati, concedendo controllo remoto simile ad Android. Rimuoverlo su iPhone è più semplice grazie al sandboxing, ma verifica profili e app sideloaded.

Passo 1: Controlla e rimuovi profili sospetti

  • Vai su Impostazioni > Generali > VPN e Gestione Dispositivi (o Profili e Gestione Dispositivi).
  • Se vedi profili non riconosciuti (es. da developer enterprise o app fake), tocca > Rimuovi profilo > Conferma con codice. ZeroDayRAT spesso usa profili per permessi persistenti.
  • Riavvia l’iPhone dopo rimozione.

Passo 2: Elimina app sospette

  • Tieni premuto l’icona app > Rimuovi app > Elimina app (inclusi dati).
  • Controlla Impostazioni > Generali > Spazio iPhone per app recenti da fonti non-App Store.
  • Revoca permessi: Impostazioni > [App] > Permessi (camera, microfono, posizione, notifiche).

Passo 3: Scansione e tool di sicurezza

  • Installa dal App Store: iVerify (ha scoperto ZeroDayRAT), Malwarebytes o Bitdefender. Esegui scansione completa per threat mobile.
  • Attiva Protezione Avanzata (se Google account) o Lockdown Mode (Impostazioni > Privacy e sicurezza > Modalità Blocco) per high-risk.
  • Aggiorna iOS: Impostazioni > Generali > Aggiornamento Software.

Passo 4: Pulizia post-rimozione

  • Cambia tutte le password e 2FA da altro device (usa app TOTP, non SMS). Controlla account Apple ID.
  • Verifica notifiche insolite o batteria drenata rapida (segno di RAT attivo).
  • Disabilita sideload e link da SMS/email sconosciuti.

Factory Reset se persistente

  • Impostazioni > Generali > Trasferisci o Ripristina iPhone > Cancella Contenuti e Impostazioni.
  • Backup iCloud prima (ma verifica se infetto), configura da zero senza ripristino sospetto. Ideale per RAT avanzati come ZeroDayRAT.

Per enterprise: usa MDM Apple per wipe remoto e policy no-profili enterprise non-autorizzati. Se sospetti breach, contatta Apple Support o iVerify per analisi forense.

×

\ Get the latest news /

Ti potrebbero interessare anche:

5 1 voto
Valutazione dell'articolo
Iscriviti
Notificami
guest
0 Commenti
Vecchi
Più recenti Le più votate
Feedback in linea
Visualizza tutti i commenti

Post correlati

PAGE TOP
0
Esprimete la vostra opinione commentando.x
×