La société de sécurité iVerify a récemment révélé qu'une nouvelle plateforme de logiciels espions mobiles appelée ZeroDayRAT se propage sur le dark web et les plateformes de chat, et peut presque complètement prendre le contrôle des smartphones des victimes, y compris les dernières versions des systèmes iOS et Android, après une infection réussie. Les chercheurs ont souligné que les capacités de surveillance et de contrôle qu'il offre, qui dans le passé n'étaient généralement réalisées que par des attaquants disposant de ressources au niveau de l'État, sont désormais accessibles à toute personne pouvant « se permettre l'argent » pour acheter de tels outils.
iVerify a déclaré avoir découvert pour la première fois des traces de ZeroDayRAT sur Telegram vers le 2 février 2026, les développeurs faisant la promotion du malware via la plate-forme et le présentant comme un « service commercial à part entière ». La promotion comprend non seulement un support client et des mises à jour régulières, mais fournit également un panneau de contrôle Web pour le contrôle à distance des appareils infectés, abaissant ainsi le seuil permettant aux cybercriminels ordinaires de lancer des attaques avancées.
Selon les informations divulguées, ZeroDayRAT se propage principalement via des activités de phishing par SMS (smishing). Les attaquants envoient des messages texte contenant des liens malveillants aux cibles, et les liens sont déguisés en pointant vers des adresses de téléchargement d'applications légitimes. Une fois que la victime l'a téléchargé et installé, le module espion caché dans l'application s'exécute silencieusement en arrière-plan. En plus des messages texte, les attaquants peuvent également distribuer la même charge malveillante via des e-mails de phishing, de fausses boutiques d'applications tierces ou même des liens partagés sur des plateformes de chat telles que WhatsApp et Telegram.
Une fois l'appareil compromis, l'attaquant peut se connecter à un panneau de commande distant à plusieurs onglets pour surveiller et contrôler le téléphone cible par catégories. La page « Vue d'ensemble » affichera des données de base telles que le modèle de l'appareil, la version du système d'exploitation, l'état de la batterie, le pays, les informations sur la carte SIM et l'opérateur, l'utilisation des applications, etc., fournissant une base de renseignements pour des attaques ultérieures plus précises.
Ce qui est encore plus menaçant, c'est que d'autres pages de la plateforme peuvent accéder à une grande quantité d'informations sensibles, notamment le contenu des messages texte des banques, des opérateurs et des contacts personnels, et même utiliser le mécanisme de blocage des notifications du système pour capturer les messages WhatsApp, les notifications YouTube, les invites système et presque toutes les notifications qui apparaissent sur l'appareil. Grâce à l'onglet « Localisation », les attaquants peuvent appeler les données GPS pour suivre la localisation globale de la victime en temps réel et comprendre pleinement sa trajectoire de mouvement.
ZeroDayRAT fournit également une page « Compte », qui est utilisée pour afficher de manière centralisée les noms d'utilisateur et les adresses e-mail associés à l'appareil infecté, y compris Google, Facebook, Amazon et d'autres informations sur les comptes de service. Dans le même temps, le logiciel malveillant continuera de surveiller le contenu des messages texte SMS pour voler des mots de passe à usage unique, des codes de vérification SMS et des codes de vérification en deux étapes par SMS, créant ainsi des conditions propices à l'intrusion dans les services bancaires en ligne, les comptes sociaux et d'autres services sensibles.
À son niveau le plus intrusif, ZeroDayRAT intègre des capacités de surveillance et d'enregistrement de frappe en temps réel, permettant l'enregistrement de la caméra, du microphone et de l'écran en arrière-plan pour fournir un aperçu complet de l'environnement réel de l'utilisateur et des opérations de l'appareil. iVerify a souligné que son module d'enregistrement de frappe peut intercepter chaque clic et chaque saisie de l'utilisateur sur l'écran et afficher l'écran actuel en temps réel, permettant aux attaquants d'obtenir avec précision les mots de passe, le contenu du chat et toutes les données saisies. De plus, la boîte à outils cible spécifiquement les services de paiement mobile, les applications bancaires et les portefeuilles de crypto-monnaie dans le but de voler des actifs numériques et des informations financières.
Les chercheurs ont souligné à plusieurs reprises que la complexité et la sophistication affichées par ZeroDayRAT nécessitaient autrefois souvent le développement de forces au niveau national, mais qu'elles sont désormais ouvertes à un plus large éventail d'attaquants sous la forme d'une « commercialisation ». Pour les utilisateurs individuels ordinaires, une fois infectés, cela signifie presque l’effondrement complet de la vie privée ; Pour les entreprises et les institutions, un téléphone professionnel compromis peut devenir un point de départ pour des opérations de fuite de données à grande échelle et une porte dérobée latente à long terme.
iVerify prévient que dans un environnement où ces menaces ne cessent de s'intensifier, la sécurité des appareils mobiles ne doit plus être considérée comme un problème secondaire, mais doit recevoir la même priorité que la sécurité des points de terminaison traditionnels (par exemple, ordinateurs portables, ordinateurs de bureau) et de la messagerie électronique. Aujourd’hui, alors que les smartphones sont profondément ancrés dans la vie quotidienne, le travail et les activités financières, l’émergence de telles plateformes commerciales de logiciels espions a encore amplifié le pouvoir destructeur de la cybercriminalité et souligné le besoin urgent pour les utilisateurs et les organisations d’investir dans la sensibilisation et la protection en matière de sécurité.