Investigadores de ciberseguridad han revelado detalles de una nueva plataforma de software espía móvil llamada ZeroDayRAT que se promociona en Telegram como una forma de obtener datos confidenciales y facilitar la vigilancia en tiempo real en dispositivos Android e iOS.
«Los desarrolladores operan canales dedicados para ventas, atención al cliente y actualizaciones periódicas, brindando a los compradores un único punto de acceso a un panel de software espía completamente operativo», dijo Daniel Kelly, investigador de seguridad de iVerify. «Esta plataforma va más allá de la recopilación normal de datos y abarca la vigilancia en tiempo real y el robo financiero directo».
ZeroDayRAT está diseñado para admitir las versiones de Android 5 a 16 y hasta la versión 26 de iOS. Se considera que el malware se distribuye a través de ingeniería social o mercados de aplicaciones falsos. Los binarios maliciosos se generan a través de un constructor provisto de un panel en línea que los compradores pueden configurar en sus propios servidores.
Una vez que el malware haya infectado el dispositivo, los operadores podrán ver todos los detalles a través de un panel autohospedado, incluido el modelo, la ubicación, el sistema operativo, el estado de la batería, la SIM, los detalles del operador, el uso de la aplicación, las notificaciones y las vistas previas de los mensajes SMS recientes. Esta información permite a los atacantes perfilar a sus víctimas y recopilar detalles sobre con quién están hablando y las aplicaciones que más utilizan.
El panel también extrae sus coordenadas GPS actuales y las traza en Google Maps, y también registra un historial de todos los lugares que visitan a lo largo del tiempo, convirtiéndolos efectivamente en software espía.
«Uno de los paneles más problemáticos es la pestaña Cuentas», añadió Kelly. «Enumera todas las cuentas registradas en su dispositivo, incluidas Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify, etc., cada una con un nombre de usuario o correo electrónico asociado».
Otras características de ZeroDayRAT incluyen el registro de pulsaciones de teclas y la recopilación de mensajes SMS, incluidas contraseñas de un solo uso (OTP) que desactivan la autenticación de dos factores. También permite operaciones prácticas, como activar la vigilancia en tiempo real a través de transmisiones de cámaras en vivo y micrófonos, lo que permite a los adversarios monitorear de forma remota a sus víctimas.
Para permitir el robo financiero, el malware incluye un componente ladrón que escanea aplicaciones de billetera como MetaMask, Trust Wallet, Binance y Coinbase, reemplaza las direcciones de billetera copiadas en el portapapeles y redirige las transacciones a billeteras bajo el control del atacante.
También existen módulos de robo de bancos dirigidos a plataformas de billetera móvil en línea como Apple Pay, Google Pay y PayPal. PhonePe es una aplicación de pagos digitales india que permite transferencias de dinero instantáneas utilizando la Interfaz de pagos unificados (UPI), un protocolo que facilita transacciones de igual a igual y de persona a persona entre bancos.
«En resumen, este es un conjunto completo de herramientas de compromiso móvil, el tipo de conjunto de herramientas que anteriormente requería inversión estatal y desarrollo de exploits a medida, y que ahora se vende en Telegram», dijo Kelly. «Un único comprador tiene acceso completo a la ubicación, mensajes, finanzas, cámara, micrófono y pulsaciones de teclas de un objetivo desde una pestaña del navegador. El soporte multiplataforma y el desarrollo activo aumentan la amenaza tanto para individuos como para organizaciones».
El malware ZeroDayRAT es similar a muchos otros que se dirigen a usuarios de dispositivos móviles mediante phishing e infiltración en mercados de aplicaciones oficiales. En los últimos años, los actores maliciosos han encontrado repetidamente diferentes formas de eludir las protecciones de seguridad implementadas por Apple y Google para engañar a los usuarios para que instalen aplicaciones maliciosas.
Los ataques dirigidos al iOS de Apple normalmente aprovechan las funciones de aprovisionamiento empresarial que permiten a las organizaciones instalar aplicaciones sin tener que publicarlas en la App Store. Las herramientas de marketing que combinan capacidades de software espía, vigilancia y robo de información reducen aún más la barrera de entrada para los piratas informáticos menos capacitados. También destaca la evolución y persistencia de las ciberamenazas centradas en dispositivos móviles.
La noticia de las plataformas comerciales de software espía coincide con la aparición de una variedad de campañas de fraude y malware móvil que han salido a la luz en las últimas semanas.
La campaña del troyano de acceso remoto (RAT) de Android utilizó Hugging Face para alojar y distribuir archivos APK maliciosos. La cadena de infección comienza cuando un usuario descarga una aplicación cuentagotas aparentemente inofensiva (como TrustBastion), que cuando se abre solicita al usuario que instale una actualización, que descarga un archivo APK alojado en Hugging Face. Luego, el malware solicita acceso a permisos de accesibilidad y otros controles confidenciales para permitir la vigilancia y el robo de credenciales. Además de depender de Firebase y Telegram de C2, se descubrió que el RAT de Android conocido como Arsink utiliza Google Apps Script para filtrar archivos a los medios y a Google Drive. El malware, que permite el robo de datos y el control remoto total, se hace pasar por una variedad de marcas populares y se distribuye a través de enlaces de Telegram, Discord y MediaFire. Las infecciones por Alcin se concentran en Egipto, Indonesia, Irak, Yemen y Turkiye. Una aplicación de lectura de documentos llamada All Document Reader (nombre del paquete: com.recursivestd.highlogic.stellargrid) cargada en Google Play Store ha sido marcada por actuar como instalador del troyano bancario Anatsa (también conocido como TeaBot y Toddler). La aplicación obtuvo más de 50.000 descargas antes de ser eliminada. Un troyano bancario para Android llamado deVixor ha estado atacando activamente a usuarios en Irán desde octubre de 2025 a través de sitios web de phishing que se hacen pasar por empresas automotrices legítimas. El malware contiene un módulo de ransomware lanzado de forma remota que no sólo puede recopilar información confidencial sino también bloquear el dispositivo y exigir un pago en criptomonedas. Usamos Google Firebase para la entrega de comandos y una infraestructura de bot basada en Telegram para la administración. La campaña maliciosa, cuyo nombre en código es “ShadowRemit”, aprovechó aplicaciones y páginas falsas de Android que imitan las listas de aplicaciones de Google Play para permitir transferencias de dinero transfronterizas no autorizadas. Se ha descubierto que estas páginas falsas promocionan APK no autorizados como un servicio confiable de transferencia de dinero sin tarifas y tipos de cambio mejorados. «Las víctimas reciben instrucciones de remitir los pagos a las cuentas de los beneficiarios/puntos finales de billetera electrónica y enviar capturas de pantalla de las transacciones como prueba de verificación», dijo CTM360. «Este enfoque nos permite eludir los canales regulados de transferencia de dinero y es consistente con el patrón de cobro de cuentas Rava». Una campaña de malware para Android dirigida a usuarios de la India aprovechó la confianza asociada con los servicios gubernamentales y las plataformas digitales oficiales para distribuir archivos APK maliciosos a través de WhatsApp, lo que llevó a la implementación de malware capaz de robar datos, establecer un control persistente y ejecutar mineros de criptomonedas. Se ha observado que los operadores de un troyano de Android y una herramienta cibercriminal llamada Triada utilizan páginas de inicio de phishing disfrazadas de actualizaciones del navegador Chrome para engañar a los usuarios para que descarguen archivos APK maliciosos alojados en GitHub. Según el análisis de Alex, los atacantes han estado «apoderándose activamente de cuentas de anunciantes totalmente verificadas y de larga data para distribuir redireccionamientos maliciosos». Las campañas de fraude orientadas a WhatApp utilizan videollamadas, donde los atacantes se hacen pasar por representantes bancarios o meta soporte, le indican que comparta la pantalla de su teléfono para abordar cargos fraudulentos en su tarjeta de crédito e instalan aplicaciones legítimas de acceso remoto como AnyDesk o TeamViewer para robar datos confidenciales. La campaña de software espía de Android se dirigió a personas en Pakistán utilizando tácticas de estafa romántica para distribuir una aplicación de chat de citas maliciosa llamada GhostChat y robar datos de las víctimas. Actualmente se desconoce cómo se distribuye el malware. También se sospecha que los atacantes detrás de esta operación ejecutan el ataque ClickFix, que infecta las computadoras de las víctimas con una carga útil DLL que puede recopilar metadatos del sistema y ejecutar comandos emitidos por servidores externos, así como un ataque de vinculación de dispositivos de WhatsApp llamado GhostPairing para obtener acceso a cuentas de WhatsApp. Se descubrió una nueva familia de troyanos de fraude de clics de Android llamada Phantom que aprovecha la biblioteca de aprendizaje automático de JavaScript TensorFlow.js para detectar y manipular automáticamente ciertos elementos publicitarios en sitios cargados en WebViews ocultos. Otro modo de «señalización» utiliza WebRTC para transmitir una transmisión de video en vivo de la pantalla de un navegador virtual al servidor de un atacante, lo que permite hacer clic, desplazarse o ingresar texto. El malware se distribuye a través de juegos móviles publicados en la tienda GetApps de Xiaomi y otras tiendas de aplicaciones de terceros no oficiales. Una familia de malware para Android llamada NFCShare se distribuye a través de una campaña de phishing del Deutsche Bank que engaña a los usuarios para que instalen un archivo APK malicioso (‘deutsche.apk’) disfrazado de actualización, que lee y filtra datos de la tarjeta NFC a un punto final WebSocket remoto. El malware comparte similitudes con la familia de malware de retransmisión NFC, incluidos NGate, ZNFC y SuperCard.
Group-IB dijo en un informe publicado el mes pasado que ha sido testigo de un aumento en el malware de pago con NFC para Android, la mayor parte del cual se promueve dentro de la comunidad de ciberdelincuencia china en Telegram. La tecnología de retransmisión basada en NFC también se conoce como Ghost Tap.
«Desde noviembre de 2024 hasta agosto de 2025, se registraron al menos 355.000 dólares en transacciones fraudulentas de un solo proveedor de POS», dijo la firma de ciberseguridad con sede en Singapur. «En otro escenario observado, las mulas de todo el mundo utilizan billeteras móviles precargadas con tarjetas comprometidas para realizar compras».
Group-IB también dijo que ha identificado tres proveedores importantes de aplicaciones de retransmisión NFC de Android, incluidos TX-NFC, X-NFC y NFU Pay, y dijo que TX-NFC ha ganado más de 25.000 suscriptores en Telegram desde su lanzamiento a principios de enero de 2025. X-NFC y NFU Pay tienen más de 5.000 y 600 suscriptores respectivamente en sus plataformas de mensajería.
El objetivo final de estos ataques es engañar a las víctimas para que instalen malware habilitado para NFC para espiar tarjetas de pago físicas en sus teléfonos inteligentes, capturar datos de transacciones y transmitirlos a dispositivos cibercriminales a través de servidores controlados por atacantes. Esto se logra a través de una aplicación dedicada instalada en el dispositivo de Money Mule, completando pagos y conversiones de efectivo como si la tarjeta de la víctima estuviera físicamente presente.
Citando las crecientes preocupaciones sobre el fraude mediante toque para pagar, Group-IB dijo que observó un aumento constante en la detección de artefactos de malware desde mayo de 2024 hasta diciembre de 2025, y agregó: «Al mismo tiempo, han surgido diferentes familias y variantes, mientras que las más antiguas permanecen activas». «Esto demuestra que esta tecnología está muy extendida entre los estafadores».
Source link
