La empresa de seguridad iVerify reveló recientemente que una nueva plataforma de software espía móvil llamada ZeroDayRAT se está propagando en la web oscura y en las plataformas de chat, y puede apoderarse casi por completo de los teléfonos inteligentes de la víctima, incluidas las últimas versiones de los sistemas iOS y Android, después de una infección exitosa. Los investigadores señalaron que las capacidades de monitoreo y control que proporciona, que en el pasado generalmente solo eran logradas por atacantes con recursos a nivel estatal, ahora están disponibles para cualquiera que pueda "permitirse el dinero" para comprar dichas herramientas.
iVerify dijo que descubrió por primera vez rastros de ZeroDayRAT en Telegram alrededor del 2 de febrero de 2026, y los desarrolladores promocionaron el malware a través de la plataforma y lo empaquetaron como un "servicio comercial completo". La promoción no sólo incluye atención al cliente y actualizaciones periódicas, sino que también proporciona un panel de control web para el control remoto de dispositivos infectados, lo que reduce aún más el umbral para que los ciberdelincuentes comunes lancen ataques avanzados.
Según la información divulgada, ZeroDayRAT se propaga principalmente a través de actividades de phishing (smishing) por SMS. Los atacantes envían mensajes de texto que contienen enlaces maliciosos a sus objetivos, y los enlaces se disfrazan como si apuntaran a direcciones de descarga de aplicaciones legítimas. Una vez que la víctima la descarga e instala, el módulo espía oculto en la aplicación se ejecuta silenciosamente en segundo plano. Además de los mensajes de texto, los atacantes también pueden distribuir la misma carga maliciosa a través de correos electrónicos de phishing, tiendas de aplicaciones falsas de terceros o incluso enlaces compartidos en plataformas de chat como WhatsApp y Telegram.
Una vez que el dispositivo se ve comprometido, el atacante puede iniciar sesión en un panel de control remoto de múltiples pestañas para monitorear y controlar el teléfono objetivo en categorías. La página "Descripción general" mostrará datos básicos como el modelo del dispositivo, la versión del sistema operativo, el estado de la batería, el país, la tarjeta SIM y la información del operador, el uso de la aplicación, etc., proporcionando una base de inteligencia para ataques posteriores más precisos.
Lo que es aún más amenazador es que otras páginas de la plataforma pueden acceder a una gran cantidad de información confidencial, incluido el contenido de mensajes de texto de bancos, operadores y contactos personales, e incluso utilizar el mecanismo de bloqueo de notificaciones del sistema para capturar mensajes de WhatsApp, notificaciones de YouTube, avisos del sistema y casi todas las notificaciones que aparecen en el dispositivo. A través de la pestaña "Ubicación", los atacantes pueden solicitar datos de GPS para rastrear la ubicación global de la víctima en tiempo real y comprender completamente su trayectoria de movimiento.
ZeroDayRAT también proporciona una página de "Cuenta", que se utiliza para mostrar de forma centralizada los nombres de usuario y las direcciones de correo electrónico asociados con el dispositivo infectado, incluida Google, Facebook, Amazon y otra información de cuentas de servicios. Al mismo tiempo, el malware continuará monitoreando el contenido de los mensajes de texto SMS para robar contraseñas de un solo uso, códigos de verificación de SMS y códigos de verificación de dos pasos basados en SMS, creando condiciones para la intrusión en la banca en línea, cuentas sociales y otros servicios sensibles.
En su nivel más intrusivo, ZeroDayRAT integra capacidades de monitoreo y registro de teclas en tiempo real, lo que permite la grabación de cámara, micrófono y pantalla en segundo plano para brindar una visión completa del entorno real del usuario y de las operaciones del dispositivo. iVerify señaló que su módulo de registro de teclas puede interceptar cada clic y entrada del usuario en la pantalla y mostrar la pantalla actual en tiempo real, lo que permite a los atacantes obtener con precisión contraseñas, contenido del chat y cualquier dato ingresado. Además, el conjunto de herramientas se dirige específicamente a servicios de pago móvil, aplicaciones bancarias y carteras de criptomonedas con el objetivo de robar activos digitales e información financiera.
Los investigadores han enfatizado repetidamente que la complejidad y sofisticación mostrada por ZeroDayRAT alguna vez requirió a menudo fuerzas a nivel nacional para su desarrollo, pero ahora está abierta a una gama más amplia de atacantes en forma de "comercialización". Para los usuarios individuales comunes, una vez infectados, esto casi significa el colapso total de su privacidad personal; Para empresas e instituciones, un teléfono de trabajo comprometido puede convertirse en un punto de inflexión para operaciones de fuga de datos a gran escala y una puerta trasera latente a largo plazo.
iVerify advierte que en un entorno donde estas amenazas aumentan constantemente, la seguridad de los dispositivos móviles ya no debe verse como un problema secundario, sino que se le debe dar la misma prioridad que la seguridad tradicional de los terminales (por ejemplo, portátiles, de escritorio) y del correo electrónico. Hoy en día, cuando los teléfonos inteligentes están profundamente arraigados en la vida diaria, el trabajo y las actividades financieras, la aparición de este tipo de plataformas comerciales de software espía ha amplificado aún más el poder destructivo del ciberdelito y ha puesto de relieve la urgente necesidad de que los usuarios y las organizaciones inviertan en concienciación y protección de la seguridad.