Recentemente, surgiram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, comercializada abertamente em canais do Telegram como uma ferramenta pronta para espionar telefones Android e iPhone. Pesquisadores de segurança rastrearam os anúncios e o funcionamento do produto: os desenvolvedores não só vendem o binário malicioso, mas oferecem um construtor e um painel web que o comprador pode implantar em seu próprio servidor, além de suporte e atualizações periódicas. Na prática, trata-se de uma suíte que converte um celular comprometido em uma fonte contínua de dados e em uma câmara e microfone remotos controláveis a partir de um navegador. Para uma explicação técnica e análise completa, consultar o relatório do iVerify em que a ameaça é documentada: iVerify - Breaking down ZeroDayRAT.
ZeroDayRAT, de acordo com a análise disponível, suporta uma ampla gama de versões Android e iOS, e seu vetor de entrada mais comum não são exploits sofisticados, mas táticas de engenharia social: aplicações falsas em lojas não oficiais, páginas de download enganosas, ou instaladores que se fazem passar por utilitários legítimos. Uma vez instalado, o software reporta ao painel do atacante informações completas do dispositivo — modelo, sistema operacional, estado de bateria, operador e detalhes do SIM — e oferece vistas prévias de mensagens, uso de aplicativos e outros metadados que permitem traçar um perfil detalhado da vítima.
Além de registrar meta- dados, ZeroDayRAT incorpora funções intrusivas de vigilância em tempo real: localização GPS traçada sobre mapas, história de localização, transmissão da câmara e do microfone, e registro de teclas. Essa combinação converte o telefone em uma ferramenta de espionagem permanente, não apenas em um vetor para roubo de credenciais. O painel também lista as contas registadas no dispositivo —correio e redes sociais — o que facilita o atacante identificar serviços valiosos para continuar a explorar ou monetizar as informações roubadas.
O leque de capacidades inclui igualmente componentes concebidos para a fraude financeira. Um módulo detecta aplicações de carteira e muda os endereços copiados para a área de transferência para as contas controladas pelo atacante. Outro módulo foca-se em serviços de pagamento móvel e bancos, apontando para plataformas populares, incluindo aplicações locais com grande adoção em regiões específicas. No caso da Índia, por exemplo, os pesquisadores apontaram que o malware busca ativar fraudes relacionadas ao UPI – a infraestrutura de pagamentos instantâneos – para entender esse sistema, pode consultar a documentação do NPCI sobre UPI: NPCI - UPI.
No atual ecossistema criminoso, ZeroDayRAT não surge em isolamento; se enquadra em uma onda de famílias de malware e campanhas que exploraram diferentes vias de distribuição e abusado de serviços legítimos para alojar ou propagar payloads. Nas últimas semanas, por exemplo, foi publicada uma campanha que usou o Hugging Face para distribuir carregamentos maliciosos que depois descarregavam um APK que pedia permissões de acessibilidade para controlar o dispositivo. Esse caso e sua metodologia foram descritos por Bitdefender: Bitdefender - Android RAT campaign.
A proliferação de ferramentas de controle remoto e troianos para Android cresceu e diversificado seus métodos. Famílias como Arsink combinaram serviços na nuvem e plataformas de mensagens para comando e controle, enquanto outros troianos conseguiram se colar em lojas oficiais ou em anúncios verificados por campanhas de malvertising. Zimperium e outros laboratórios documentaram variantes que usam o Google Apps Script, Firebase e canais do Telegram para orquestrar exfiltração e administração remota: Zimperium - Arsink.
O fato de kits completos de intrusão serem vendidos como produto eleva um problema social e técnico. Antes, um certo nível de sofisticação centrado em exploits de dia zero ou em infra-estruturas personalizadas era necessário para alcançar vigilância remota persistente; hoje, um comprador com recursos modestos pode adquirir uma solução que integra espionagem, roubo de credenciais e capacidades para desviar dinheiro. Essa mudança reduz a barreira de entrada e multiplica os atores com capacidade de causar danos.
O fenômeno não se limita ao spyware tradicional: surgiram campanhas que usam aplicações de aparência inocua para atuar como instaladores de troianos bancários, redes de remessas falsas que recrutam mules, e ferramentas NFC que permitem clonar ou relayer transações de pagamento com o telefone. Repórteres recentes de empresas como o Group-IB e o CTM360 descrevem como os atacantes têm comercializado aplicativos e serviços para facilitar fraudes de pagamento e coleta de dinheiro, mostrando também que alguns mercados no Telegram concentram milhares de assinantes interessados em soluções deste tipo: Group-IB - Ghost Tapped e CTM360 - ShadowRemit.
Também foram detectados casos em que aplicações aparentemente legítimas subidas a lojas oficiais atuaram como portas de entrada para malware bancário, com milhares de downloads antes de serem retiradas. Estes incidentes sublinham que não basta apenas olhar para as fontes fora dos ecossistemas oficiais: os atacantes exploram a confiança e a cadeia de distribuição. Exemplos e análise de aplicativos maliciosas em lojas ou replicando páginas da Play Store foram publicados por várias assinaturas de segurança.
Diante deste panorama, a parte preventiva recai tanto em fabricantes e lojas de apps como no usuário. Manter o sistema operacional e as aplicações atualizadas, evitar instalar APKs de origem não verificadas, rever as permissões que solicita uma aplicação e desconfiar de mensagens que instam a instalar “atualizações” fora dos canais oficiais continua a ser básico. Para ambientes de alto risco, é recomendável usar mecanismos de autenticação mais robustos do que os SMS – como chaves físicas ou aplicações de autenticação – e ativar alertas de atividade incomum em contas sensíveis. A Apple documenta como funciona o aprovisionamento empresarial e porque pode ser um vetor de risco quando se abusa dele: Apple - Installing profiles on devices. Além disso, o Google oferece guias sobre como o Play Protect funciona e como reduzir riscos no Android: Google Play Protect.
A resposta tecnológica e jurídica também deve evoluir. Os indicadores técnicos e os quadros de comando que publicam os equipamentos de resposta podem ajudar a detectar artefatos conhecidos, mas a economia do crime – agora possibilitada por comércios no Telegram e outras plataformas – demanda medidas coordenadas entre fornecedores de serviços na nuvem, fabricantes de sistemas operacionais, plataformas de mensagens e forças de segurança. Relatórios públicos e análises independentes, como os de iVerify, Bitdefender ou Group-IB, são peças-chave para que administradores e jornalistas compreendam e difundam a ameaça: iVerify, Bitdefender, Group-IB.
Se você é usuário, a recomendação prática é não baixar a guarda: verifica a procedência das aplicações, desconfia de links recebidos por mensagens que pedem instalar software, revisa regularmente a lista de aplicativos instalados e as permissões outorgadas, e usa proteção adicional para suas contas financeiras. Se você suspeitar que um dispositivo pode estar comprometido, o prudente é isolar de redes sensíveis, mudar senhas de um dispositivo limpo e procurar ajuda de profissionais ou de provedores de segurança. Os relatos que documentam casos concretos e técnicas empregadas podem ajudá-lo a identificar padrões e adotar defesas mais acertadas; para leituras adicionais sobre campanhas recentes você pode consultar análise como os de Zimperium, WeLiveSecurity e AdEx - Triada.
A conclusão é clara: a ameaça móvel já não é apenas uma questão de aplicações invasivas isoladas, mas de um mercado de ferramentas onde a vigilância, o roubo e a fraude são vendidos empacotados. Entender como essas plataformas funcionam e aplicar medidas básicas de higiene digital é hoje a melhor defesa para usuários e organizações.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...