ZeroDayRAT expõe Android e iOS a espionagem móvel avançada

Um novo spyware móvel, designado ZeroDayRAT, está a suscitar preocupação entre especialistas em cibersegurança devido ao seu elevado nível de sofisticação e à facilidade com que pode ser utilizado para comprometer dispositivos móveis. Identificado pela primeira vez a 2 de fevereiro de 2026 e analisado pela iVerify, o toolkit oferece capacidades normalmente associadas a operações que exigem recursos de nível estatal.

O ZeroDayRAT é comercializado através do Telegram e disponibiliza aos operadores um painel de controlo auto-alojado e ferramentas para gerar payloads maliciosos. O ataque depende da instalação de um binário malicioso no dispositivo, normalmente distribuído por phishing, smishing, aplicações reempacotadas com malware ou canais não oficiais.

Depois de instalado, o spyware permite uma recolha extensiva de informação do dispositivo e do utilizador, incluindo modelo, sistema operativo, estado do bloqueio, dados do cartão SIM, aplicações utilizadas e mensagens recentes. O kit inclui ainda localização GPS em tempo real, com histórico de movimentos apresentado em mapas integrados.

A vigilância vai além da recolha passiva. O ZeroDayRAT suporta acesso em direto à câmara, gravação de ecrã e escuta do microfone, possibilitando a observação, audição e localização simultânea da vítima. Segundo a iVerify, esta combinação transforma o dispositivo móvel num verdadeiro ponto de espionagem permanente.

Entre as funcionalidades mais críticas está um keylogger móvel, capaz de registar todas as interações do utilizador, incluindo gestos, teclas premidas e desbloqueios biométricos. O spyware inclui também módulos específicos para roubo bancário e de criptomoedas, recorrendo a técnicas como injeção contínua no clipboard, o que permite desviar fundos sempre que a vítima tenta realizar uma transação.

Existem poucos indicadores de compromisso claros, sendo a degradação anormal da bateria ou transações financeiras não reconhecidas alguns dos poucos sinais visíveis. Mesmo nesses casos, os investigadores alertam que o impacto tende a ser identificado apenas depois de os danos estarem consumados.

A iVerify sublinha ainda os desafios associados a eventuais ações de mitigação. Não existe uma infraestrutura central a desmantelar, já que cada operador gere o seu próprio servidor. Além disso, o toolkit é promovido em várias línguas, incluindo português, russo, chinês, espanhol e inglês, o que dificulta a atribuição e sugere uma tentativa deliberada de desinformação.

“Cada operador executa a sua própria instância, o que transforma qualquer resposta num jogo de ‘whack-a-mole’”, explica Daniel Kelley, investigador da iVerify. Mesmo que os canais de venda no Telegram sejam removidos, surgem rapidamente outros, o que torna o ZeroDayRAT uma ameaça persistente no ecossistema móvel.