Uma nova espionagem móvel comercial batizada como ZeroDayRAT está sendo ofertada a compradores de cibercrime através de canais no Telegram, e os pesquisadores alertam que não se trata de uma ferramenta amador: oferece aos seus operadores controle remoto quase total sobre dispositivos Android e iPhone, com um painel pensado para gerenciar vítimas como se fossem “dispositivos em uma botnet”.
A descrição técnica difundida pelos pesquisadores aponta que o painel de controle mostra, entre outros dados, o modelo do dispositivo, a versão do sistema operacional, o estado de bateria, detalhes da SIM, o país e se o telefone está bloqueado, o que facilita priorizar objetivos e executar ações em tempo real. Além do registro passivo de informações —história de uso de aplicativos, linhas de tempo de atividade, mensagens SMS, notificações recebidas e contas registradas no telefone—, ZeroDayRAT incorpora funções de monitoramento ativa: localização em direto e com histórico sobre um mapa, ativação remota de câmeras e microfone para obter streaming ao vivo, gravação de tela e um módulo de keylogging capaz de capturar senhas, gestos e padrões de desbloqueio.
As capacidades descritas não são meramente invasivas; também são lucrativas para o atacante. De acordo com as análises da imprensa especializada, o malware inclui módulos orientados para o roubo financeiro: um “crypto stealer” que digitaliza aplicativos de carteira como MetaMask, Trust Wallet, Binance ou Coinbase para registrar identificadores e balanços, e que tenta modificar endereços na área de transferência (clipboard hijacking) para desviar transferências; e um “bank stealer” que aponta apps bancários, plataformas UPI e serviços de pagamento como Apple Pay ou PayPal, usando telas superpostas falsas para capturar credenciais.
Outra função especialmente perigosa é a intercepção de mensagens SMS: com acesso a essas mensagens o atacante pode capturar códigos de verificação de um único uso (OTP) e assim contornar autenticações de dois fatores baseados em SMS. Também foram documentadas facilidades para enviar SMS do dispositivo comprometido, o que abre vetores para fraude e suplantação.
Os pesquisadores que deram a voz de alarme — os achados foram coletados por meios especializados — descrevem o ZeroDayRAT como um “kit completo de comprometimento móvel” e alertam que a infecção de um telefone pessoal ou, pior ainda, de uma equipe de um empregado poderia se tornar a porta de entrada para uma brecha maior em ambientes corporativos. No material disponível não se detalha com precisão o vetor de entrega, embora pela natureza do mercado onde se vende (canales fechados e Telegram) e pela sofisticação das funções, é provável que sejam utilizadas técnicas de engenharia social, apps fraudulentas ou campanhas voltadas para a instalação.
Convém colocar em contexto as afirmações: o marketing deste tipo de ferramentas às vezes exagera compatibilidades ou capacidades. Por exemplo, em algumas descrições são listadas versões de sistemas com números pouco credíveis; isso não resta o risco real, mas exige ler relatórios técnicos completos. Para aqueles que buscam mais informações imediatas sobre o achado e a publicação dos analistas, você pode consultar o seguimento em meios de cibersegurança como BleepingComputer, que coleta o relatório inicial e os detalhes técnicos observados pelos pesquisadores: BleepingComputer — ZeroDayRAT.
O que os usuários e as empresas podem fazer para reduzir o risco? Primeiro, aplicar medidas básicas, mas eficazes: baixar aplicativos apenas a partir de lojas oficiais e editoras de confiança, manter o sistema operacional e apps atualizados e revisar com cuidado as permissões que cada aplicativo pede (o acesso a SMS, a câmera, o microfone, e as funções de acessibilidade devem ser ativadas apenas quando imprescindíveis). Os utilizadores com maior exposição — os especialistas, ativistas, funcionários de segurança ou finanças — devem considerar protecções adicionais: a Apple oferece o modo Lockdown (Lockdown Mode) para casos de alto risco, e o Google promove o seu Programa de Proteção Avançada para contas como uma barreira contra ataques direcionados; ambas as abordagens são concebidas para aumentar a resistência aos vectores sofisticados: Apple — Lockdown Mode e Google — Advanced Protection Program.
As organizações devem tratar os telemóveis como potenciais pontos de entrada crítico. A gestão de dispositivos móveis (MDM), políticas rigorosas de acesso à rede, segmentação do ambiente empresarial e soluções de detecção e resposta para endpoints móveis ajudam a atenuar o impacto de uma possível invasão. Para guias práticas e recomendações gerais sobre segurança móvel, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) oferece publicações e recursos aplicáveis a usuários e administradores: CISA — Mobile Device Security.
Finalizo com uma nota de prudência: o ecossistema do spyware comercial e os mercados no Telegram e plataformas similares têm facilitado a profissionalização do crime digital; ferramentas como ZeroDayRAT, quando existem na realidade, reduzem a barreira técnica para atores com motivações econômicas ou políticas. A defesa não depende apenas de uma aplicação ou configuração: é uma combinação de hábitos, ferramentas e políticas corporativas que, juntas, aumentam significativamente a dificuldade para que um operador malicioso torne um telefone em uma fonte de vigilância ou em uma caixa registradora à distância.
Se você quiser, posso resumir as ações concretas que você deve rever no seu telefone agora mesmo, passo a passo, ou preparar uma versão do artigo focada em responsáveis pela segurança em empresas com medidas técnicas e operacionais recomendadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...