Un nouvel espionnage mobile commercial nommé ZeroDayRAT est offert aux acheteurs de cybercriminalité par les canaux dans Telegram, et les chercheurs avertissent que ce n'est pas un outil amateur: il offre à ses opérateurs presque totale télécommande sur les appareils Android et iPhone, avec un panneau conçu pour gérer les victimes comme s'ils étaient "appareils sur un botnet."
La description technique diffusée par les chercheurs souligne que le panneau de contrôle montre, entre autres données, le modèle de l'appareil, la version du système d'exploitation, l'état de la batterie, les détails de la SIM, le pays et si le téléphone est bloqué, ce qui facilite la hiérarchisation des objectifs et l'exécution des actions en temps réel. En plus de l'enregistrement passif de l'information - historique d'utilisation de l'application, lignes de temps d'activité, SMS messages, notifications reçues et comptes enregistrés sur le téléphone -, ZeroDayRAT intègre des fonctions de surveillance active: emplacement en direct et historique sur une carte, activation à distance des caméras et du microphone pour obtenir streaming en direct, enregistrement d'écran et un module de capture de clé capable de capturer des mots de passe, gestes et modèles de déverrouillage.
Les capacités décrites ne sont pas simplement invasives; elles sont également lucratives pour l'agresseur. Selon l'analyse citée par la presse spécialisée, les logiciels malveillants comprennent des modules orientés vers le vol financier : un « voleur de crypto » qui scanne des applications de portefeuille telles que MetaMask, Trust Wallet, Binance ou Coinbase pour enregistrer des identifiants et des soldes, et qui tente de modifier des adresses sur le détournement de presse pour détourner les transferts; et un « voleur de banque » qui pointe vers les applications bancaires, les plateformes UPI et les services de paiement tels qu'Apple Pay ou PayPal, en utilisant de faux écrans recoupants pour capturer des identifiants.
Une autre fonction particulièrement dangereuse est l'interception des messages SMS: avec l'accès à ces messages, l'attaquant peut capturer des codes de vérification à usage unique (OTP) et ainsi éviter l'authentification de deux facteurs basés sur SMS. Les installations d'envoi de SMS à partir de l'appareil compromis ont également été documentées, ouvrant les vecteurs de fraude et de supplantation.
Les chercheurs qui ont donné la voix d'alarme - dont les conclusions ont été recueillies par des médias spécialisés - décrivent ZeroDayRAT comme une « trousse d'engagement mobile complète » et avertissent que l'infection d'un téléphone personnel ou, pire encore, l'équipe d'un employé pourrait devenir la porte d'entrée d'un écart plus grand dans les environnements d'entreprise. Le matériel disponible ne détaille pas précisément le vecteur de livraison, bien que par la nature du marché où il est vendu (canaux fermés et Télégramme) et par la sophistication des fonctions, il est probable que des techniques d'ingénierie sociale, des applications frauduleuses ou des campagnes ciblées seront utilisées pour réaliser l'installation.
Il convient de mettre en contexte les énoncés : la commercialisation de ce type d'outils exagère parfois la compatibilité ou les capacités. Par exemple, certaines descriptions énumèrent des versions de systèmes avec des chiffres irréfutables; cela ne soustrait pas le risque réel, mais il faut lire les rapports techniques complets. Pour ceux qui recherchent des informations plus immédiates sur la recherche et la publication d'analystes, voir le suivi dans les médias de cybersécurité tels que BleepingComputer, qui recueille le rapport initial et les détails techniques observés par les chercheurs: Calculateur de roulement - ZeroDayRAT.
Que peuvent faire les utilisateurs et les entreprises pour réduire les risques? D'abord, appliquer des mesures de base mais efficaces : télécharger les applications uniquement des magasins officiels et des éditeurs dignes de confiance, tenir le système d'exploitation et les applications à jour et examiner soigneusement les autorisations demandées par chaque application (l'accès aux SMS, à la caméra, au microphone et aux fonctions d'accessibilité ne devrait être activé que si nécessaire). Les utilisateurs plus exposés - journalistes, militants, agents de sécurité ou financiers - devraient envisager des protections supplémentaires: Apple offre Lockdown (Lockdown Mode) pour les cas à risque élevé, et Google fait la promotion de son programme de protection avancée des comptes comme un obstacle aux attaques ciblées; les deux approches sont conçues pour augmenter la résistance aux vecteurs sophistiqués: Apple - Mode de verrouillage et Google - Programme de protection avancé.
Les organisations devraient considérer les téléphones mobiles comme des points d'entrée critiques potentiels. La gestion des appareils mobiles (MDM), des politiques strictes d'accès au réseau, la segmentation de l'environnement d'entreprise et les solutions de détection et de réponse pour les terminaux mobiles contribuent à atténuer l'impact d'une éventuelle invasion. Pour des guides pratiques et des recommandations générales sur la sécurité mobile, la US Infrastructure and Cybersecurity Safety Agency. USA (CISA) propose des publications et des ressources applicables aux utilisateurs et administrateurs: CISA - Sécurité des appareils mobiles.
Je conclus par une note de prudence: l'écosystème de logiciels espions commerciaux et les marchés de Telegram et de plateformes similaires ont facilité la professionnalisation de la criminalité numérique; des outils tels que ZeroDayRAT, lorsqu'ils existent en réalité, réduisent la barrière technique pour les acteurs économiques ou politiques. La défense ne dépend pas seulement d'une application ou d'une configuration : c'est une combinaison d'habitudes, d'outils et de politiques d'entreprise qui, ensemble, accroissent considérablement la difficulté pour un opérateur malveillant de transformer un téléphone en source de surveillance ou en boîte d'enregistrement distante.
Si vous voulez, je peux résumer les mesures concrètes que vous devez revoir sur votre téléphone dès maintenant, étape par étape, ou préparer une version de l'article axée sur les responsables de la sécurité dans les entreprises avec des mesures techniques et opérationnelles recommandées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...