Охранная компания iVerify недавно сообщила, что новая мобильная шпионская платформа под названием ZeroDayRAT распространяется в темной сети и чат-платформах и после успешного заражения может практически полностью захватить смартфоны жертвы, включая последние версии систем iOS и Android. Исследователи отметили, что предоставляемые им возможности мониторинга и контроля, которые раньше обычно были доступны только злоумышленникам с ресурсами государственного уровня, теперь доступны любому, кто может «позволить себе деньги» на покупку таких инструментов.

iVerify сообщила, что впервые обнаружила следы ZeroDayRAT в Telegram примерно 2 февраля 2026 года, когда разработчики продвигали вредоносное ПО через платформу и упаковывали его как «полноценную коммерческую услугу». Акция не только включает поддержку клиентов и регулярные обновления, но также предоставляет веб-панель управления для удаленного управления зараженными устройствами, что еще больше снижает порог для обычных киберпреступников для запуска сложных атак.

Согласно раскрытой информации, ZeroDayRAT в основном распространяется посредством SMS-фишинга (смишинга). Злоумышленники отправляют целевым объектам текстовые сообщения, содержащие вредоносные ссылки, которые маскируются под указывающие на адреса загрузки легитимных приложений. Как только жертва загружает и устанавливает его, шпионский модуль, скрытый в приложении, работает в фоновом режиме. Помимо текстовых сообщений, злоумышленники также могут распространять ту же вредоносную полезную нагрузку через фишинговые электронные письма, сторонние поддельные магазины приложений или даже ссылки, которыми делятся на чат-платформах, таких как WhatsApp и Telegram.

После взлома устройства злоумышленник может войти в панель удаленного управления с несколькими вкладками, чтобы отслеживать и управлять целевым телефоном по категориям. На странице «Обзор» будут отображаться основные данные, такие как модель устройства, версия операционной системы, состояние батареи, страна, информация о SIM-карте и операторе, использование приложений и т. д., что обеспечивает аналитическую основу для последующих более точных атак.

Еще более угрожающим является то, что другие страницы платформы могут получить доступ к большому объему конфиденциальной информации, включая текстовые сообщения от банков, операторов и личных контактов, и даже использовать механизм блокировки системных уведомлений для перехвата сообщений WhatsApp, уведомлений YouTube, системных подсказок и почти всех уведомлений, которые появляются на устройстве. Через вкладку «Местоположение» злоумышленники могут вызвать данные GPS, чтобы отслеживать глобальное местоположение жертвы в режиме реального времени и полностью понимать траекторию ее движения.

ZeroDayRAT также предоставляет страницу «Учетная запись», которая используется для централизованного отображения имен пользователей и адресов электронной почты, связанных с зараженным устройством, включая Google, Facebook, Amazon и другую информацию об учетной записи службы. В то же время вредоносное ПО продолжит отслеживать содержимое текстовых сообщений SMS с целью кражи одноразовых паролей, кодов проверки SMS и кодов двухэтапной проверки на основе SMS, создавая условия для проникновения в онлайн-банкинг, социальные учетные записи и другие конфиденциальные сервисы.

На самом интрузивном уровне ZeroDayRAT объединяет возможности мониторинга в реальном времени и кейлоггинга, позволяя выполнять запись с камеры, микрофона и экрана в фоновом режиме, чтобы обеспечить всесторонний взгляд на реальную среду пользователя и операции устройства. iVerify отметила, что ее модуль кейлогинга может перехватывать каждый щелчок и ввод пользователя на экране и отображать текущий экран в режиме реального времени, позволяя злоумышленникам точно получать пароли, содержимое чата и любые введенные данные. Кроме того, набор инструментов специально предназначен для мобильных платежных сервисов, банковских приложений и криптовалютных кошельков с целью кражи цифровых активов и финансовой информации.

Исследователи неоднократно подчеркивали, что сложность и изощренность, демонстрируемые ZeroDayRAT, когда-то часто требовали развития сил национального уровня, но теперь он открыт для более широкого круга злоумышленников в форме «коммерциализации». Для обычных индивидуальных пользователей заражение означает почти полный крах личной жизни; для предприятий и учреждений взломанный рабочий телефон может стать точкой прорыва для крупномасштабных операций по утечке данных и долгосрочным скрытым бэкдором.

iVerify предупреждает, что в среде, где эти угрозы постоянно растут, безопасность мобильных устройств больше не следует рассматривать как второстепенную проблему, а должна иметь тот же приоритет, что и безопасность традиционных конечных точек (например, ноутбуков, настольных компьютеров) и безопасности электронной почты. Сегодня, когда смартфоны глубоко вошли в повседневную жизнь, работу и финансовую деятельность, появление таких коммерческих платформ шпионского ПО еще больше усилило разрушительную силу киберпреступности и подчеркнуло острую необходимость для пользователей и организаций инвестировать в осведомленность о безопасности и защиту.