Los investigadores de ciberseguridad han revelado detalles de una nueva plataforma de spyware móvil denominada ZeroDayrat que se anuncia en Telegram como una forma de obtener datos confidenciales y facilitar la vigilancia en tiempo real en dispositivos Android e iOS.

«El desarrollador utiliza canales dedicados a las ventas, la atención al cliente y las actualizaciones periódicas, lo que ofrece a los compradores un único punto de acceso a un panel de software espía totalmente operativo», dijo Daniel Kelley, investigador de seguridad de iVerify, dijo . «La plataforma va más allá de la recopilación de datos típica y pasa a la vigilancia en tiempo real y el robo financiero directo».

ZeroDayrat está diseñado para soportar las versiones 5 a 16 de Android y las versiones de iOS hasta la 26. Se estima que el malware se distribuye mediante ingeniería social o mercados de aplicaciones falsas. Los archivos binarios maliciosos se generan a través de un generador que se proporciona a los compradores, junto con un panel en línea que pueden configurar en su propio servidor.

Una vez que el malware infecta un dispositivo, el operador puede ver todos los detalles, incluidos el modelo, la ubicación, el sistema operativo, el estado de la batería, la tarjeta SIM, los detalles del operador, el uso de la aplicación, las notificaciones y una vista previa de los mensajes SMS recientes, a través de un panel autohospedado. Esta información permite al autor de la amenaza hacer un perfil de la víctima y obtener más información sobre con quién habla y las aplicaciones que más utiliza.

El panel también extrae sus coordenadas GPS actuales y las traza en Google Maps, junto con el historial de todas las ubicaciones en las que han estado a lo largo del tiempo, lo que las convierte en software espía.

«Uno de los paneles más problemáticos es la pestaña de cuentas», agregó Kelley. «Se enumeran todas las cuentas registradas en el dispositivo: Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify y más, cada una con su nombre de usuario o correo electrónico asociado».

Algunas de las otras funciones de ZeroDayrat incluyen registrar las pulsaciones de las teclas, recopilar mensajes SMS, incluidas las contraseñas de un solo uso (OTP) para anular la autenticación de dos factores, y permitir operaciones prácticas, como activar la vigilancia en tiempo real mediante la transmisión de cámaras en directo y una alimentación de micrófono que permite al adversario monitorear remotamente a la víctima.

adsense

Para permitir el robo financiero, el malware incorpora un componente robador que busca aplicaciones de monedero como MetaMask, Trust Wallet, Binance y Coinbase, y sustituye las direcciones de monedero copiadas en el portapapeles para redirigir transacciones a una billetera bajo el control del atacante.

También existe un módulo de robo de bancos destinado a plataformas de monederos móviles en línea, como Apple Pay, Google Pay y PayPal, junto con PhonePe, una aplicación de pagos digitales india que permite transferencias de dinero instantáneas con la interfaz de pagos unificada ( UPI ), un protocolo para facilitar las transacciones interbancarias entre pares y de persona a comerciante.

«En conjunto, se trata de un conjunto completo de herramientas de compromiso móvil, del tipo que antes exigía la inversión de un estado nacional o el desarrollo de exploits a medida, que ahora se vende en Telegram», dijo Kelley. «Un solo comprador tiene acceso total a la ubicación, los mensajes, las finanzas, la cámara, el micrófono y las pulsaciones de teclado de un objetivo desde una pestaña del navegador. El soporte multiplataforma y el desarrollo activo lo convierten en una amenaza creciente tanto para las personas como para las organizaciones».

El malware ZeroDayrat es similar a muchos otros que se han dirigido a usuarios de dispositivos móviles, ya sea mediante suplantación de identidad o infiltrándose en los mercados oficiales de aplicaciones. En los últimos años, los malos actores han repetidamente logró encontrar varias formas eludir protecciones de seguridad implementados por Apple y Google para engañar a los usuarios para que instalen aplicaciones maliciosas.

Los ataques dirigidos al iOS de Apple suelen aprovechar un capacidad de aprovisionamiento empresarial que permite a las organizaciones instalar aplicaciones sin necesidad de publicarlas en la App Store. Al utilizar herramientas de marketing que combinan funciones de spyware, vigilancia y robo de información, reducen aún más la barrera de entrada para los piratas informáticos menos expertos. También destacan la evolución de la sofisticación y la persistencia de las ciberamenazas centradas en los dispositivos móviles.

La noticia de la plataforma comercial de spyware coincide con la aparición de varias campañas de estafa y malware móvil que han salido a la luz en las últimas semanas -

  • Un Campaña de troyanos de acceso remoto (RAT) para Android ha utilizado Hugging Face para alojar y distribuir archivos APK maliciosos. La cadena de infección comienza cuando los usuarios descargan una aplicación de cuentagotas aparentemente inofensiva (por ejemplo, TrustBastion) que, al abrirse, les pide que instalen una actualización, lo que hace que la aplicación descargue el archivo APK alojado en Hugging Face. A continuación, el malware solicita permisos de accesibilidad y acceso a otros controles delicados para permitir la vigilancia y el robo de credenciales.
  • Una RAT de Android llamada Arsink se ha descubierto que utiliza Google Apps Script para la filtración de archivos y medios a Google Drive, además de confiar en Firebase y Telegram para C2. El malware, que permite el robo de datos y el control remoto completo, se distribuye a través de enlaces de Telegram, Discord y MediaFire, y se hace pasar por varias marcas populares. Las infecciones por Arsink se han concentrado en Egipto, Indonesia, Irak, Yemen y Turquía.
  • Se ha subido a Google Play Store una aplicación de lectura de documentos llamada All Document Reader (nombre del paquete: com.recursivestd.highlogic.stellargrid) marcado para actuar como instalador de Anatsa troyano bancario (también conocido como TeaBot y Toddler). La aplicación atrajo más de 50 000 descargas antes de ser eliminada.
  • Un troyano bancario para Android llamado DeVixor ha estado atacando activamente a los usuarios iraníes a través de sitios web de suplantación de identidad que se hacen pasar por empresas automotrices legítimas desde octubre de 2025. Además de recopilar información confidencial, el malware incluye un módulo de ransomware que se activa de forma remota y que puede bloquear dispositivos y exigir pagos con criptomonedas. Utiliza Google Firebase para la entrega de comandos y una infraestructura de bots basada en Telegram para la administración.
  • Una campaña maliciosa con nombre en código ShadowRemit ha aprovechado aplicaciones y páginas falsas de Android que imitan las listas de aplicaciones de Google Play para permitir transferencias de dinero transfronterizas sin licencia. Se ha descubierto que estas páginas falsas promocionan los APK no autorizados como servicios de envío de remesas confiables, sin comisiones y con mejores tipos de cambio. «Se les pide a las víctimas que envíen los pagos a las cuentas o monederos electrónicos de los beneficiarios y que proporcionen capturas de pantalla de las transacciones como prueba de verificación», afirma CTM360. «Este enfoque puede eludir los corredores de remesas regulados y se ajusta a los patrones de cobro de las cuentas de mulas».
  • Un Campaña de malware para Android atacar a usuarios en la India ha abusado de la confianza asociada a los servicios gubernamentales y las plataformas digitales oficiales para distribuir archivos APK maliciosos a través de WhatsApp, lo que ha llevado al despliegue de malware que puede robar datos, establecer un control persistente y ejecutar un minero de criptomonedas.
  • Los operadores de un Herramienta de ciberdelincuencia y troyanos para Android llamada Triada se ha observado que utilizan páginas de destino de suplantación de identidad disfrazadas de actualizaciones del navegador Chrome para engañar a los usuarios para que descarguen archivos APK maliciosos alojados en GitHub. Según un análisis realizado por Alex, los atacantes «se están apoderando activamente de cuentas de anunciantes antiguas y totalmente verificadas para distribuir redireccionamientos maliciosos».
  • UN Campaña de estafa orientada a WhatsApp ha aprovechado las videollamadas, en las que el autor de la amenaza se hace pasar por un representante bancario o un metasoporte y le indica que comparta la pantalla de su teléfono para hacer frente a un supuesto cargo no autorizado en su tarjeta de crédito e instale una aplicación legítima de acceso remoto, como AnyDesk o TeamViewer, para robar datos confidenciales.
  • Una campaña de spyware para Android ha aprovechado las tácticas de estafa romántica para atacar a personas en Pakistán y distribuir una aplicación maliciosa de chat de citas denominada Chat fantasma para extraer los datos de las víctimas. Actualmente no se sabe cómo se distribuye el malware. También se sospecha que los responsables de la operación están llevando a cabo un ataque ClickFix que infecta los ordenadores de las víctimas con una carga DLL que puede recopilar metadatos del sistema y ejecutar comandos emitidos por un servidor externo, así como un ataque de enlace de dispositivos de WhatsApp denominado Emparejamiento de fantasmas para acceder a sus cuentas de WhatsApp.
  • Una nueva familia de troyanos fraudulentos de clics para Android llamada Fantasma se ha descubierto que aprovecha TensorFlow.js, una biblioteca de aprendizaje automático de JavaScript, para detectar automáticamente e interactuar con elementos publicitarios específicos en un sitio cargado en un WebView oculto. Un modo de «señalización» alternativo utiliza WebRTC para transmitir una transmisión de vídeo en directo de la pantalla del navegador virtual al servidor de los atacantes y permitirles hacer clic, desplazarse o introducir texto. El malware se distribuye a través de juegos móviles publicados en la tienda GetApps de Xiaomi y en otras tiendas de aplicaciones no oficiales de terceros.
  • Una familia de malware para Android llamada Compartir NFC se ha distribuido a través de una campaña de suplantación de identidad del Deutsche Bank para engañar a los usuarios para que instalen un archivo APK malicioso (» deutsche.apk «) con el pretexto de una actualización, que lee los datos de la tarjeta NFC y los filtra a un punto final remoto de WebSocket. El malware comparte similitudes con Familias de malware de retransmisión NFC como nGate, ZNFC , SuperCard X, PhantomCard y RelayNFC, con su servidor de comando y control (C2) marcado anteriormente como asociado a la actividad de SuperCardX en noviembre de 2025.
enlaces

En un informe publicado el mes pasado, Group-IB dijo que había sido testigo de un aumento del malware para Android con función de tocar para pagar con NFC, la mayoría del cual se anuncia en las comunidades chinas de ciberdelincuencia en Telegram. La técnica de retransmisión basada en NFC también se conoce como Grifo Ghost .

«Se han registrado al menos 355.000 dólares en transacciones ilegítimas de un solo proveedor de puntos de venta entre noviembre de 2024 y agosto de 2025", dijo la empresa de ciberseguridad con sede en Singapur dijo . «En otro escenario observado, mulas de todo el mundo utilizan carteras móviles precargadas con tarjetas comprometidas para realizar compras».

Group-IB también dijo que identificó a los tres principales proveedores de aplicaciones de retransmisión NFC para Android, incluidos TX-NFC, X-NFC y NFU Pay, y que TX-NFC ha acumulado más de 25 000 suscriptores en Telegram desde que comenzó a operar a principios de enero de 2025. X-NFC y NFU Pay tienen más de 5000 y 600 suscriptores en la plataforma de mensajería, respectivamente.

El objetivo final de estos ataques es engañar a las víctimas para que instalen malware compatible con NFC y utilicen sus tarjetas de pago físicas en sus teléfonos inteligentes, lo que hace que los datos de las transacciones se capturen y se transmitan al dispositivo del ciberdelincuente a través de un servidor controlado por el atacante. Esto se logra mediante una aplicación específica instalada en el dispositivo de la mula monetaria para completar los pagos o retirar dinero como si las tarjetas de las víctimas estuvieran físicamente presentes.

Al calificar las estafas con tocar para pagar como una preocupación creciente, Group-IB dijo que observó un aumento constante en la detección de artefactos de malware entre mayo de 2024 y diciembre de 2025. «Al mismo tiempo, también están apareciendo diferentes familias y variantes, mientras que las antiguas permanecen activas», añade. «Esto indica la difusión de esta tecnología entre los estafadores».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.