Das Sicherheitsunternehmen iVerify gab kürzlich bekannt, dass sich eine neue mobile Spyware-Plattform namens ZeroDayRAT im Dark Web und auf Chat-Plattformen verbreitet und nach erfolgreicher Infektion die Smartphones des Opfers, einschließlich der neuesten Versionen von iOS- und Android-Systemen, fast vollständig übernehmen kann. Die Forscher wiesen darauf hin, dass die dadurch bereitgestellten Überwachungs- und Kontrollfunktionen, die in der Vergangenheit normalerweise nur Angreifern mit staatlichen Ressourcen zur Verfügung standen, nun jedem zur Verfügung stehen, der sich „das Geld“ für den Kauf solcher Tools leisten kann.

iVerify sagte, es habe erstmals um den 2. Februar 2026 Spuren von ZeroDayRAT auf Telegram entdeckt, wobei Entwickler die Malware über die Plattform beworben und sie als „vollwertigen kommerziellen Dienst“ verpackt hätten. Die Aktion umfasst nicht nur Kundensupport und regelmäßige Updates, sondern stellt auch ein Web-Kontrollfeld zur Fernsteuerung infizierter Geräte bereit, wodurch die Hemmschwelle für gewöhnliche Cyberkriminelle, komplexe Angriffe zu starten, weiter gesenkt wird.

Offengelegten Informationen zufolge wird ZeroDayRAT hauptsächlich durch SMS-Phishing-Aktivitäten (Smishing) verbreitet. Angreifer senden Textnachrichten mit bösartigen Links an Ziele, und die Links werden so getarnt, dass sie auf Download-Adressen legitimer Anwendungen verweisen. Sobald das Opfer die App herunterlädt und installiert, läuft das in der App versteckte Spionagemodul unbemerkt im Hintergrund. Zusätzlich zu Textnachrichten können Angreifer dieselbe bösartige Nutzlast auch über Phishing-E-Mails, gefälschte App-Stores von Drittanbietern oder sogar über Links, die auf Chat-Plattformen wie WhatsApp und Telegram geteilt werden, verbreiten.

Nachdem das Gerät kompromittiert wurde, kann sich der Angreifer bei einem Remote-Bedienfeld mit mehreren Registerkarten anmelden, um das Zieltelefon in Kategorien zu überwachen und zu steuern. Auf der Seite „Übersicht“ werden grundlegende Daten wie Gerätemodell, Betriebssystemversion, Akkustatus, Land, SIM-Karten- und Betreiberinformationen, Anwendungsnutzung usw. angezeigt und bieten so eine nachrichtendienstliche Grundlage für spätere, präzisere Angriffe.

Was noch bedrohlicher ist, ist, dass andere Seiten der Plattform auf eine große Menge vertraulicher Informationen zugreifen können, darunter Textnachrichteninhalte von Banken, Betreibern und persönlichen Kontakten, und sogar den Mechanismus zum Blockieren von Systembenachrichtigungen verwenden, um WhatsApp-Nachrichten, YouTube-Benachrichtigungen, Systemaufforderungen und fast alle Benachrichtigungen, die auf dem Gerät angezeigt werden, zu erfassen. Über die Registerkarte „Standort“ können Angreifer GPS-Daten abrufen, um den globalen Standort des Opfers in Echtzeit zu verfolgen und dessen Bewegungsbahn vollständig zu verstehen.

ZeroDayRAT bietet außerdem eine „Konto“-Seite, auf der die mit dem infizierten Gerät verknüpften Benutzernamen und E-Mail-Adressen, einschließlich Google-, Facebook-, Amazon- und anderen Dienstkontoinformationen, zentral angezeigt werden. Gleichzeitig überwacht die Malware weiterhin den Inhalt von SMS-Textnachrichten, um Einmalpasswörter, SMS-Verifizierungscodes und SMS-basierte zweistufige Verifizierungscodes zu stehlen und so Bedingungen für das Eindringen in Online-Banking, soziale Konten und andere sensible Dienste zu schaffen.

Auf der eindringlichsten Ebene integriert ZeroDayRAT Echtzeitüberwachungs- und Keylogging-Funktionen und ermöglicht Kamera-, Mikrofon- und Bildschirmaufzeichnungen im Hintergrund, um einen umfassenden Einblick in die reale Umgebung und Gerätevorgänge des Benutzers zu ermöglichen. iVerify wies darauf hin, dass sein Keylogging-Modul jeden Klick und jede Eingabe des Benutzers auf dem Bildschirm abfangen und den aktuellen Bildschirm in Echtzeit anzeigen kann, sodass Angreifer genau an Passwörter, Chat-Inhalte und alle eingegebenen Daten gelangen können. Darüber hinaus zielt das Toolkit speziell auf mobile Zahlungsdienste, Banking-Apps und Kryptowährungs-Wallets ab, mit dem Ziel, digitale Vermögenswerte und Finanzinformationen zu stehlen.

Forscher haben wiederholt betont, dass die Komplexität und Ausgereiftheit, die ZeroDayRAT an den Tag legt, einst oft die Entwicklung nationaler Kräfte erforderte, nun aber in Form der „Kommerzialisierung“ einem breiteren Spektrum von Angreifern offensteht. Für normale Einzelnutzer bedeutet dies nach einer Infektion fast den völligen Zusammenbruch der Privatsphäre; Für Unternehmen und Institutionen kann ein kompromittiertes Arbeitstelefon zum Durchbruch für groß angelegte Datenleckoperationen und zu einer langfristig latenten Hintertür werden.

iVerify warnt davor, dass in einer Umgebung, in der diese Bedrohungen ständig eskalieren, die Sicherheit mobiler Geräte nicht mehr als Nebensache betrachtet werden sollte, sondern die gleiche Priorität erhalten muss wie die Sicherheit herkömmlicher Endpunkte (z. B. Laptops, Desktops) und E-Mail. Heutzutage, da Smartphones fest in das tägliche Leben, die Arbeit und finanzielle Aktivitäten integriert sind, hat das Aufkommen solcher kommerziellen Spyware-Plattformen die zerstörerische Kraft der Cyberkriminalität noch verstärkt und die dringende Notwendigkeit für Benutzer und Organisationen verdeutlicht, in Sicherheitsbewusstsein und -schutz zu investieren.