ZeroDayRAT: nowy „komercyjny zestaw szpiegowski”, który daje pełną kontrolę nad iOS i Androidem - Security Bez Tabu

ZeroDayRAT: nowy „komercyjny zestaw szpiegowski”, który daje pełną kontrolę nad iOS i Androidem

Wprowadzenie do problemu / definicja luki

ZeroDayRAT to nowo opisany, komercyjnie sprzedawany toolkit spyware/RAT na urządzenia mobilne, reklamowany w kanałach Telegrama. Według analiz badaczy ma zapewniać operatorowi „total compromise” – od pasywnego zbierania danych (profilowanie, powiadomienia, SMS, konta) po aktywną inwigilację (kamera/mikrofon/screen recording) oraz moduły kradzieży finansowej (bankowość i krypto).

Ważne doprecyzowanie: nazwa „ZeroDayRAT” może sugerować wykorzystanie podatności typu 0-day, ale publiczne materiały wskazują przede wszystkim na infekcję przez dostarczenie złośliwego binarium (APK na Androidzie / payload na iOS) i socjotechnikę, a nie potwierdzony łańcuch 0-day.

W skrócie

  • Sprzedaż i wsparcie: Telegram, z kanałami „sprzedaż / support / aktualizacje” oraz panelem do zarządzania infekcjami.
  • Zakres platform: raportowane wsparcie dla Android 5–16 oraz iOS do wersji 26.
  • Funkcje: profilowanie urządzenia i użytkownika, monitoring powiadomień i aktywności, GPS z historią, kamera/mikrofon/screen recording, keylogger oraz moduły kradzieży bankowej i kryptowalut (m.in. podmiana schowka).
  • Model wdrożenia u atakującego: kupujący zwykle dostaje panel + „builder”, sam hostuje infrastrukturę C2 i generuje próbki.

Kontekst / historia / powiązania

iVerify informuje, że aktywność ZeroDayRAT zaobserwowano po raz pierwszy 2 lutego 2026 r., a 10 lutego 2026 opublikowano techniczny opis.
Narracja wokół zagrożenia jest charakterystyczna dla trendu „demokratyzacji” narzędzi inwigilacyjnych: funkcje kojarzone wcześniej z kosztownymi platformami (często wiązanymi z aktorami o dużych zasobach) trafiają do „masowego rynku” dzięki gotowym panelom operatorskim, dokumentacji i supportowi.

Analiza techniczna / szczegóły „zestawu”

1) Łańcuch infekcji: binarium + dystrybucja po stronie operatora

Z dostępnych opisów wynika, że ZeroDayRAT wymaga umieszczenia na urządzeniu złośliwego komponentu (APK/payload). Dystrybucja jest elastyczna i zależy od operatora: smishing (SMS z linkiem), phishing, fałszywe sklepy/aplikacje, linki w komunikatorach.

2) Panel operatorski: „widok 360°” na ofiarę

Po infekcji panel ma prezentować m.in.: model urządzenia, wersję OS, stan baterii, kraj, lock state, dane SIM/operatora, dual-SIM numery, statystyki użycia aplikacji, „timeline” aktywności oraz podgląd ostatnich SMS. To umożliwia szybkie profilowanie ofiary i dobór dalszych kroków (np. pod przejęcie kont).

3) Dane o kontach i powierzchnia pod ATO

Szczególnie groźny jest wątek „accounts”: enumeracja kont powiązanych z urządzeniem (np. ekosystemy społecznościowe, komunikatory, platformy zakupowe). To skraca drogę do Account Takeover (ATO) i przygotowania precyzyjnej socjotechniki.

4) Inwigilacja w czasie rzeczywistym

Raporty opisują możliwość jednoczesnego: śledzenia GPS, uruchomienia live camera feed (przód/tył), nagrywania ekranu i podsłuchu przez mikrofon – wszystko z jednego panelu. Z perspektywy atakującego to „zdalna obecność” przy ofierze.

5) Keylogger + kradzież finansowa (bankowość i krypto)

  • Keylogger ma rejestrować wpisy/gesty/akcje z dokładnymi znacznikami czasu, co zwiększa szanse na wyciąganie haseł, kodów, treści wiadomości i danych do MFA.
  • Moduł krypto: skanowanie aplikacji portfeli oraz ciągła podmiana adresów w schowku (clipboard injection), by przekierować przelewy.
  • Moduł bankowy: przechwytywanie danych logowania m.in. przez ataki overlay oraz wsparcie dla popularnych platform płatniczych (np. Apple Pay/PayPal) – według opisu badaczy.

Praktyczne konsekwencje / ryzyko

Dla osób prywatnych

  • Utrata prywatności (lokalizacja, treść powiadomień, komunikatory, nagrania audio/wideo).
  • Bezpośrednie straty finansowe (krypto i bankowość mobilna).

Dla firm

  • Telefon pracownika jako punkt przejęcia: kradzież sesji, tokenów, resetów haseł, przejęcia kont (szczególnie gdy SMS/push/MFA „mieszka” na tym samym urządzeniu).
  • Ryzyko wycieku danych i eskalacji do systemów firmowych przez przejęte konta i komunikację (mail, komunikatory, aplikacje SaaS).

Rekomendacje operacyjne / co zrobić teraz

1) Zmniejsz skuteczność wektora dystrybucji

  • Użytkownicy: twarda zasada „brak instalacji spoza zaufanych źródeł”, szczególnie po linkach z SMS/komunikatorów (smishing).
  • Organizacje: polityki blokady „unknown sources” (Android), kontrola profili/MDM tam, gdzie możliwe, oraz edukacja na temat smishingu.

2) Ogranicz szkody finansowe

  • Włącz limity przelewów, dodatkowe potwierdzenia transakcji i alerty bankowe; dla krypto: rozważ whitelisty adresów, opóźnienia wypłat, wymaganie dodatkowej autoryzacji poza telefonem. (To praktyka obronna szczególnie istotna przy scenariuszach podmiany schowka).

3) Utrudnij ATO

  • Przenieś odzyskiwanie kont i MFA tam, gdzie to możliwe, na klucze sprzętowe/FIDO2 lub metody niezależne od SMS.
  • Monitoruj nietypowe logowania i reautoryzacje; traktuj telefon jako element krytyczny łańcucha uwierzytelniania.

4) Detekcja i reakcja

  • Z perspektywy iVerify kluczowe jest podejście „mobile EDR / threat hunting”, bo sam panel MDM nie jest nastawiony na wykrywanie spyware. W praktyce: zbieraj telemetrię mobilną, reaguj na symptomy (nietypowe zużycie baterii, nieznane uprawnienia, podejrzane aplikacje, anomalie sieciowe), miej procedurę izolacji urządzenia i rotacji poświadczeń.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • „Komercyjny spyware klasy masowej” vs „0-day/zero-click klasy premium”: opisy ZeroDayRAT akcentują gotowy panel i socjotechnikę (APK/payload), a nie potwierdzony „zero-click”. To inny profil ryzyka: łatwiejszy do wdrożenia przez przestępców, ale częściej zależny od błędu użytkownika.
  • Skala funkcji: nawet bez eksploita 0-day zestaw oferuje „pełen pakiet” (inwigilacja + kradzież), co zbliża go funkcjonalnie do droższych platform, tyle że sprzedawanych „z instrukcją i supportem”.

Podsumowanie / kluczowe wnioski

ZeroDayRAT jest kolejnym sygnałem, że smartfon staje się pełnoprawnym celem ataków typu „total compromise”, a rynek „gotowych zestawów” obniża próg wejścia. Największe ryzyka to: przejęcia kont (ATO) oparte o dane z urządzenia, inwigilacja w czasie rzeczywistym oraz szybka monetyzacja przez bankowość i krypto.
Priorytety obronne na dziś: twarde ograniczanie dystrybucji (smishing/instalacje), wzmocnienie MFA niezależnego od telefonu oraz wdrożenie procesu detekcji/reakcji na incydenty mobilne.

Źródła / bibliografia

  1. SecurityWeek – „New ‘ZeroDayRAT’ Spyware Kit Enables Total Compromise of iOS, Android Devices” (10 lutego 2026). (SecurityWeek)
  2. iVerify – „Breaking Down ZeroDayRAT – New Spyware Targeting Android and iOS” (10 lutego 2026). (iverify.io)
  3. BleepingComputer – „ZeroDayRAT malware grants full access to Android, iOS devices” (10 lutego 2026). (BleepingComputer)
  4. Dark Reading – „In Bypassing MFA, ZeroDayRAT Is 'Textbook Stalkerware’” (10 lutego 2026). (Dark Reading)
  5. Security Affairs – „ZeroDayRAT spyware grants attackers total access to mobile devices” (10 lutego 2026). (Security Affairs)