O mercado negro de ferramentas cibercriminosas atingiu um novo patamar de sofisticação e acessibilidade em fevereiro de 2026. Um novo spyware comercial chamado ZeroDayRAT está sendo vendido abertamente em canais do Telegram, oferecendo a criminosos comuns capacidades de vigilância que há poucos anos estavam restritas a agências de inteligência de estados-nação. Neste artigo do Blog Dolutech, vamos explorar como essa ferramenta representa uma democratização perigosa de tecnologias de espionagem, seus impactos devastadores para indivíduos e empresas, e as medidas essenciais de proteção que você precisa implementar agora.
O ZeroDayRAT não é apenas mais um malware móvel. Ele oferece controle total e remoto sobre dispositivos Android e iOS, incluindo roubo de credenciais bancárias, interceptação de códigos de autenticação de dois fatores, keylogging em tempo real, acesso às câmeras e microfones do dispositivo e vigilância contínua de localização. Distribuído principalmente através de smishing, phishing e lojas de aplicativos falsas, o ZeroDayRAT transforma smartphones em ferramentas de espionagem completas nas mãos de atacantes que precisam apenas de conhecimentos técnicos básicos.
O Que é o ZeroDayRAT e Por Que Ele é Diferente
O ZeroDayRAT é uma plataforma comercial de spyware móvel anunciada e vendida em canais privados do Telegram. Diferente de malwares anteriores que visavam plataformas específicas ou tinham funcionalidades limitadas, o ZeroDayRAT foi desenvolvido como um kit completo de comprometimento móvel que funciona tanto em Android quanto em iOS. Pesquisadores da iVerify, empresa especializada em segurança móvel, documentaram recentemente essa nova ameaça e alertaram que ela representa “vigilância de livro texto em nível de stalkerware”, mas comercializada para o mercado de massa criminoso.
A plataforma suporta uma ampla gama de versões de sistemas operacionais, incluindo Android 5 até Android 16 e iOS até a versão 26 mais recente. Essa compatibilidade abrangente garante que a vasta maioria dos dispositivos móveis em uso atualmente sejam vulneráveis caso o malware seja instalado com sucesso. O diferencial crítico do ZeroDayRAT não está na exploração de vulnerabilidades técnicas complexas, mas sim na engenharia social sofisticada que convence vítimas a instalarem voluntariamente o payload malicioso.
Arquitetura e Funcionalidades do ZeroDayRAT
Uma vez instalado em um dispositivo, o ZeroDayRAT fornece ao operador acesso através de um painel web completo e intuitivo. Esse dashboard centraliza todas as funcionalidades de controle e vigilância, apresentando uma interface similar a ferramentas legítimas de gerenciamento de dispositivos móveis, mas com intenções completamente maliciosas.
O painel inicial exibe uma visão abrangente do dispositivo comprometido, incluindo detalhes de hardware, versão do sistema operacional, status da bateria, informações do país e SIM, dados da operadora e estado de bloqueio. Essa tela também mostra uso de aplicativos detalhado por períodos de tempo, mensagens SMS recentes e uma linha do tempo de atividades ao vivo. Com essas informações, um atacante pode rapidamente criar um perfil comportamental completo da vítima, identificando seus hábitos, contatos frequentes, horários de maior atividade e redes às quais o dispositivo se conecta.
Capacidades de Vigilância e Espionagem
As funcionalidades de vigilância do ZeroDayRAT são extensas e alarmantes. Cada categoria representa um vetor de invasão de privacidade e potencial para danos financeiros ou pessoais.
Rastreamento de Localização em Tempo Real
O módulo de GPS integrado ao ZeroDayRAT captura continuamente a localização do dispositivo e plota os dados em uma visualização do Google Maps embutida no painel do atacante. Não apenas a localização atual é exibida em tempo real, mas todo o histórico de movimentação da vítima é armazenado e acessível. Isso permite que atacantes identifiquem padrões de deslocamento, locais frequentemente visitados como residência e local de trabalho, e até mesmo rastreiem a vítima fisicamente se desejarem.
Essa capacidade tem implicações sérias não apenas para privacidade, mas também para segurança física. Stalkers, abusadores domésticos e criminosos que planejam crimes físicos podem utilizar essas informações para monitorar e interceptar vítimas no mundo real.
Interceptação de Comunicações e Notificações
O ZeroDayRAT captura passivamente todas as notificações recebidas pelo dispositivo, incluindo alertas de WhatsApp, Instagram, Telegram, YouTube, chamadas perdidas e eventos do sistema. Importante notar que essa captura ocorre sem a necessidade de abrir os aplicativos alvo, tornando a vigilância completamente invisível para a vítima.
Mensagens SMS são registradas integralmente, incluindo comunicações com bancos, operadoras móveis e contatos pessoais. Essa funcionalidade expõe não apenas o conteúdo das mensagens, mas também revela com quem a vítima se comunica mais frequentemente e sobre quais tópicos.
Vigilância de Áudio e Vídeo ao Vivo
Talvez a capacidade mais invasiva do ZeroDayRAT seja a ativação remota das câmeras frontal e traseira do dispositivo, bem como do microfone. Atacantes podem acessar feeds de áudio e vídeo ao vivo sem qualquer indicação no dispositivo da vítima, transformando o smartphone em um dispositivo de vigilância contínua.
Essa funcionalidade permite que atacantes vejam e ouçam tudo o que acontece no ambiente da vítima em tempo real. Conversas privadas, reuniões de negócios confidenciais, ambientes domésticos e qualquer atividade realizada na presença do dispositivo comprometido ficam completamente expostos.
Adicionalmente, o malware pode gravar a tela do dispositivo, capturando senhas digitadas, informações bancárias visualizadas, mensagens de aplicativos criptografados e qualquer outro dado exibido na tela.
Roubo Financeiro e Bypass de Autenticação
Além da vigilância, o ZeroDayRAT inclui módulos especificamente projetados para roubo financeiro e comprometimento de contas.
Interceptação de Códigos 2FA
Com acesso às mensagens SMS, o ZeroDayRAT pode capturar códigos de autenticação de dois fatores enviados via mensagem de texto. Essa capacidade efetivamente anula a proteção oferecida por 2FA baseado em SMS, permitindo que atacantes acessem contas mesmo quando a vítima usa esse método de autenticação adicional.
O módulo de interceptação de OTP captura automaticamente senhas de uso único recebidas via SMS e as exibe no painel do atacante. Com essas informações, combinadas com credenciais roubadas através de keylogging ou outras técnicas, atacantes podem assumir controle completo de contas bancárias, emails, redes sociais e qualquer serviço que a vítima utilize.
Keylogger e Captura de Padrões
O módulo de keylogging integrado registra toda entrada do usuário, incluindo senhas digitadas, gestos realizados e até mesmo padrões de desbloqueio de tela. Essa captura ocorre em nível de sistema, afetando todos os aplicativos instalados no dispositivo.
Mesmo senhas complexas, que deveriam oferecer proteção robusta, ficam completamente expostas quando cada tecla pressionada é registrada e transmitida ao atacante. Padrões de desbloqueio, que muitos usuários consideram suficientemente seguros, são igualmente vulneráveis, já que o malware pode capturar os movimentos exatos realizados na tela.
Roubo de Criptomoedas
O ZeroDayRAT inclui um módulo especializado de roubo de criptomoedas que detecta a presença de carteiras populares no dispositivo, incluindo MetaMask, Trust Wallet, Binance e Coinbase. Uma vez identificadas, o malware registra IDs de carteira e saldos, fornecendo ao atacante uma lista de alvos lucrativos.
A técnica de injeção de endereços de clipboard é particularmente insidiosa. Quando a vítima copia um endereço de carteira para realizar uma transferência de criptomoeda, o malware detecta essa ação e substitui o endereço copiado por um controlado pelo atacante. Quando a vítima cola o que acredita ser o endereço correto e confirma a transação, os fundos são enviados diretamente para a carteira do criminoso. Devido à natureza irreversível de transações de criptomoeda, as vítimas não têm recurso para recuperar os fundos perdidos.
Roubo de Credenciais Bancárias
O módulo de roubo bancário do ZeroDayRAT visa aplicativos de online banking, plataformas UPI como Google Pay e PhonePe, e serviços de pagamento incluindo Apple Pay e PayPal. A técnica primária utilizada são ataques de overlay, onde telas falsas são sobrepostas aos aplicativos legítimos.
Quando a vítima abre seu aplicativo bancário, o malware detecta essa ação e rapidamente exibe uma tela falsa que imita perfeitamente a interface legítima do banco. A vítima, sem perceber que está interagindo com uma sobreposição maliciosa, insere suas credenciais de login, que são imediatamente capturadas e transmitidas ao atacante. Com acesso às credenciais bancárias e capacidade de interceptar códigos 2FA via SMS, atacantes têm tudo necessário para esvaziar contas bancárias.
Vetores de Distribuição e Infecção
O ZeroDayRAT, como a maioria dos malwares móveis sofisticados, não explora vulnerabilidades técnicas complexas de sistemas operacionais. Em vez disso, depende fundamentalmente de engenharia social para convencer vítimas a instalarem o payload malicioso voluntariamente. Pesquisadores identificaram múltiplos vetores de distribuição ativos.
Smishing como Vetor Principal
Smishing, ou phishing via SMS, permanece o método mais comum de distribuição do ZeroDayRAT. Mensagens de texto enganosas são enviadas às vítimas potenciais, personificando bancos, operadoras de telecomunicações, serviços de entrega, agências governamentais ou até mesmo contatos conhecidos.
As mensagens tipicamente criam um senso de urgência ou oferecem algum benefício atrativo. Exemplos incluem alertas falsos sobre transações bancárias suspeitas que requerem verificação imediata, notificações de pacotes pendentes que precisam ser confirmados, ofertas de descontos exclusivos que expiram em breve ou avisos de problemas com a conta que devem ser resolvidos urgentemente.
Os links incluídos nessas mensagens direcionam vítimas para páginas que imitam visualmente sites legítimos, mas hospedam o payload malicioso do ZeroDayRAT disfarçado como um aplicativo necessário ou atualização de segurança.
Phishing por Email e Mensageiros
Emails de phishing complementam as campanhas de smishing, frequentemente com abordagens mais elaboradas que incluem logos corporativos falsificados, linguagem profissional e documentos anexados aparentemente legítimos. Links em emails podem direcionar para lojas de aplicativos falsas ou iniciar downloads diretos de APKs maliciosos no Android.
Plataformas de mensageiros como WhatsApp e Telegram também são utilizadas para disseminar o ZeroDayRAT. Links maliciosos compartilhados em grupos ou enviados por contatos comprometidos têm taxa de sucesso mais alta devido à confiança implícita que usuários depositam em comunicações provenientes de conhecidos.
Lojas de Aplicativos Falsas
Nós da Dolutech observamos um aumento significativo em lojas de aplicativos falsas que hospedam versões trojanizadas de aplicativos populares. Esses sites imitam visualmente a Google Play Store ou Apple App Store, mas hospedam APKs ou perfis de configuração iOS que contêm o payload do ZeroDayRAT embutido em aplicativos aparentemente legítimos.
Vítimas que buscam versões “crackeadas” de aplicativos pagos, aplicativos que não estão disponíveis em suas regiões ou versões modificadas de aplicativos populares são particularmente vulneráveis. Ao baixar e instalar esses aplicativos de fontes não oficiais, inadvertidamente concedem ao ZeroDayRAT todas as permissões necessárias para seu funcionamento completo.
O Mercado do Telegram e a Comercialização de Vigilância
A comercialização do ZeroDayRAT através de canais do Telegram representa uma evolução preocupante no ecossistema de cibercrime. Tradicionalmente, ferramentas de vigilância de nível estatal eram desenvolvidas por agências governamentais com orçamentos substanciais e mantidas sob sigilo rigoroso. O surgimento de spyware comercial como Pegasus da NSO Group já havia demonstrado que essas capacidades estavam disponíveis no mercado privado, mas com preços que limitavam compradores a governos e grandes corporações.
O ZeroDayRAT leva essa comercialização um passo além, tornando capacidades similares acessíveis através de canais públicos do Telegram para qualquer criminoso com disposição a pagar. Enquanto os pesquisadores da iVerify não divulgaram o preço exato do kit, a tendência no mercado de Malware-as-a-Service sugere que ferramentas como o ZeroDayRAT são oferecidas através de modelos de assinatura mensal com preços variando de algumas centenas a poucos milhares de dólares.
Essa acessibilidade transforma ferramentas de vigilância sofisticadas de recursos exclusivos de estados-nação em mercadorias disponíveis para stalkers, criminosos financeiros, fraudadores corporativos e qualquer ator malicioso com recursos relativamente modestos. A barreira de entrada para vigilância invasiva caiu drasticamente, multiplicando o número potencial de vítimas.
Telegram como Marketplace Cibercriminoso
O Telegram emergiu como plataforma preferida para mercados de cibercrime devido a várias características que favorecem atividades ilícitas. Canais privados e grupos secretos oferecem relativo anonimato para vendedores e compradores. A criptografia end-to-end em chats secretos dificulta interceptação por autoridades. A política de moderação relativamente permissiva permite que conteúdo ilegal persista por períodos prolongados antes de ser removido.
Além do ZeroDayRAT, o Telegram hospeda mercados para RATs Android como Fantasy Hub e ClayRat, infostealers, kits de phishing, credenciais roubadas, cartões de crédito clonados, dumps de bases de dados e praticamente qualquer ferramenta ou dado que tenha valor no submundo criminoso.
Impactos Para Indivíduos e Empresas
As implicações de uma infecção por ZeroDayRAT são profundas e multifacetadas, afetando tanto indivíduos quanto organizações.
Violação Total de Privacidade
Para indivíduos, o ZeroDayRAT representa violação completa de privacidade pessoal. Atacantes ganham acesso irrestrito a comunicações privadas, localização física, ambientes domésticos e profissionais através de câmeras e microfones, e atividades online. Essa vigilância contínua pode ser utilizada para chantagem, extorsão, stalking ou simplesmente invasão maliciosa de privacidade.
Relacionamentos pessoais, informações médicas sensíveis, conversas confidenciais com advogados ou terapeutas e qualquer aspecto da vida privada da vítima ficam completamente expostos. O dano psicológico de descobrir que você foi monitorado continuamente por períodos prolongados pode ser devastador e duradouro.
Perdas Financeiras Diretas
O roubo de credenciais bancárias e capacidade de interceptar códigos 2FA permite que atacantes drenem contas bancárias, realizem transações fraudulentas com cartões de crédito e roubem criptomoedas. Muitas vítimas descobrem o comprometimento apenas quando saldos bancários desaparecem ou transações não autorizadas são processadas.
A recuperação de fundos roubados é frequentemente difícil ou impossível, especialmente no caso de criptomoedas onde transações são irreversíveis. Instituições financeiras podem oferecer algum nível de proteção contra fraude, mas processos de disputa são longos, estressantes e não garantem reembolso completo.
Comprometimento Corporativo
Para empresas, um dispositivo de colaborador infectado com ZeroDayRAT representa vetor crítico de comprometimento corporativo. Credenciais de contas corporativas capturadas através de keylogging permitem acesso não autorizado a sistemas internos, bases de dados de clientes, comunicações confidenciais e propriedade intelectual.
Reuniões estratégicas gravadas através de microfones comprometidos, emails corporativos interceptados e documentos visualizados em telas podem expor segredos comerciais, estratégias de negociação, informações de fusões e aquisições e outros dados competitivamente sensíveis. Competidores inescrupulosos ou adversários de estado-nação podem pagar por acesso a esses dados através de mercados clandestinos.
Dispositivos BYOD, onde colaboradores utilizam smartphones pessoais para acessar recursos corporativos, amplificam esse risco. Muitas organizações não têm visibilidade sobre o estado de segurança de dispositivos pessoais, tornando infecções por malware como ZeroDayRAT invisíveis até que danos substanciais já tenham ocorrido.
Como Proteger Seus Dispositivos Contra ZeroDayRAT
Embora o ZeroDayRAT represente ameaça séria, implementar camadas múltiplas de proteção pode reduzir significativamente o risco de comprometimento.
Utilize Apenas Lojas Oficiais de Aplicativos
A defesa mais crítica contra o ZeroDayRAT é instalar aplicativos exclusivamente através da Google Play Store no Android e Apple App Store no iOS. Embora essas lojas não sejam imunes a aplicativos maliciosos ocasionais, elas implementam processos de revisão e verificação que filtram a vasta maioria de malware.
No Android, desabilite a instalação de aplicativos de fontes desconhecidas nas configurações de segurança. Mesmo que um link malicioso tente iniciar o download de um APK, o sistema operacional bloqueará a instalação. Apenas habilite essa opção temporariamente quando necessário instalar algo de fonte confiável verificada, e desabilite imediatamente após.
Suspeite de Mensagens Não Solicitadas
Desenvolva ceticismo saudável em relação a mensagens SMS, emails ou comunicações de mensageiros que solicitam ação imediata, incluem links ou pedem instalação de aplicativos. Bancos legítimos, operadoras e empresas raramente enviam links em mensagens SMS, especialmente links que requerem download de aplicativos.
Quando receber notificação sobre problema com conta bancária, pacote pendente ou qualquer outro alerta, não clique em links incluídos na mensagem. Em vez disso, abra seu navegador, digite manualmente o endereço do site oficial da empresa ou utilize o aplicativo oficial já instalado em seu dispositivo. Se a notificação for legítima, você verá o alerta ao fazer login diretamente.
Verifique cuidadosamente o remetente de mensagens. Atacantes frequentemente utilizam números ou endereços de email que imitam organizações legítimas, mas com pequenas variações. Por exemplo, um email de “seubanco.com.br” pode vir de “seubanco-verificacao.com” ou número SMS de “+5511XXXXX” pode ser substituído por número internacional similar.
Implemente Autenticação Mais Forte
Dado que o ZeroDayRAT pode interceptar códigos 2FA enviados via SMS, considere migrar para métodos de autenticação mais robustos. Aplicativos autenticadores como Google Authenticator, Microsoft Authenticator ou Authy geram códigos localmente no dispositivo sem transmissão via SMS, tornando interceptação mais difícil.
Chaves de segurança física baseadas em FIDO2, como YubiKey ou Google Titan, oferecem o nível mais alto de proteção contra phishing e comprometimento. Essas chaves requerem presença física para autenticação e são imunes a ataques de phishing, já que verificam criptograficamente a legitimidade do site antes de fornecer credenciais.
Habilite Proteções Avançadas do Sistema
Para usuários iOS em alto risco, como jornalistas, ativistas, executivos corporativos ou indivíduos que possam ser alvos específicos, habilitar o Lockdown Mode oferece camada adicional substancial de proteção. Esse modo restringe funcionalidades que são frequentemente exploradas por spyware, incluindo bloqueio de anexos em mensagens, desabilitação de visualizações de links, restrições de conexões com fio e limitações de perfis de configuração.
No Android, o Advanced Protection Program do Google oferece proteções similares para contas em alto risco, incluindo requerimento de chaves de segurança física para autenticação e restrições adicionais sobre instalação de aplicativos.
Monitore Comportamento e Permissões de Aplicativos
Revise regularmente as permissões concedidas aos aplicativos instalados em seu dispositivo. Questione por que um aplicativo de lanterna necessita acesso a microfone, por que um jogo requer acesso a SMS ou por que um aplicativo de fotos precisa de localização contínua. Remova permissões desnecessárias através das configurações de privacidade do sistema.
Monitore uso de bateria e dados anormalmente alto. Malware como ZeroDayRAT, operando continuamente em segundo plano para capturar dados e transmiti-los a servidores de comando e controle, consome recursos substanciais. Drenagem rápida de bateria, aquecimento inexplicável do dispositivo ou consumo de dados móveis muito acima do normal podem indicar presença de malware.
Soluções de Segurança Móvel Empresarial
Para organizações, nós da Dolutech recomendamos fortemente implementar soluções de Mobile Endpoint Detection and Response que oferecem capacidades de detecção de ameaças em nível de dispositivo, forenses móveis e resposta automatizada através de ambientes gerenciados e BYOD.
Ferramentas como Zimperium, Lookout, Wandera e outras plataformas de Mobile Threat Defense analisam comportamento de aplicativos, comunicações de rede e configurações de sistema para identificar indicadores de comprometimento. Essas soluções podem detectar e alertar sobre presença de spyware como ZeroDayRAT mesmo quando o malware tenta ocultar suas atividades.
Políticas de Mobile Device Management devem ser implementadas para garantir que dispositivos corporativos ou BYOD que acessam recursos empresariais atendam a requisitos mínimos de segurança, incluindo criptografia de disco completo, bloqueio de tela com senha forte, patches de segurança atualizados e proibição de jailbreak ou root.
O Futuro da Vigilância Comercializada
O surgimento do ZeroDayRAT e ferramentas similares sinaliza uma tendência preocupante na comercialização de capacidades de vigilância. À medida que a barreira de entrada continua caindo e as ferramentas se tornam mais sofisticadas e fáceis de usar, podemos esperar proliferação adicional de spyware comercial acessível a atores cada vez menos sofisticados.
A resposta regulatória está começando a tomar forma em algumas jurisdições, com propostas para regular ou proibir venda de spyware comercial e responsabilizar fornecedores pelo uso abusivo de suas ferramentas. Entretanto, a natureza transnacional do cibercrime e a facilidade com que operações podem mudar de jurisdição tornam enforcement desafiador.
Nós da Dolutech acreditamos que a defesa efetiva contra essa categoria de ameaças requer abordagem em múltiplas camadas. Soluções técnicas, incluindo sistemas operacionais mais seguros, detecção comportamental avançada e arquiteturas zero-trust, devem ser combinadas com conscientização contínua de usuários sobre táticas de engenharia social e políticas organizacionais robustas que tratam segurança móvel com a mesma seriedade que segurança de endpoints tradicionais.
A batalha contra vigilância comercializada está apenas começando, e indivíduos, organizações e sociedade como um todo devem permanecer vigilantes e proativos na proteção contra essas ameaças em evolução.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
