Un nouveau logiciel malveillant vendu sur Telegram permet de prendre le contrôle total d'un smartphone Android ou iOS. ZeroDayRAT transforme n'importe quel appareil en dispositif de surveillance et de vol de données bancaires. Surtout, n'importe qui peut le déployer et le prendre en main.
Des chercheurs de la société iVerify ont identifié le 2 février 2026 une plateforme de spyware commerciale baptisée ZeroDayRAT. Ce malware vise aussi bien Android (versions 5 à 16) qu'iOS (jusqu'à la version 26 et l'iPhone 17 Pro). On ne parle pas ici d'un spyware diffusé sur le Dark Web ; il est au contraire distribué de manière très ouverte sur Telegram. Les développeurs gèrent plusieurs canaux dédiés aux ventes, mais aussi au support client et aux mises à jour. Jusqu'à présent, ce type de malware nécessitait la mise en place d'opérations étatiques complexes. Sauf que là, aucune compétence particulière n'est nécessaire.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un tableau de bord qui centralise toutes les activités de la victime
L'infection débute généralement par du smishing : la victime reçoit un SMS contenant un lien vers une fausse application. Des fichiers APK pour Android ou des payloads pour iOS s'installent ensuite sur le téléphone. Une fois le malware actif, l'opérateur accède à un panneau de contrôle qui affiche le modèle du téléphone, sa version d'OS, son niveau de batterie, les informations SIM, la répartition de l'utilisation des applications par plage horaire et un aperçu des SMS récents. Un onglet dédié liste tous les comptes enregistrés sur l'appareil : Google, WhatsApp, Instagram, Facebook, Amazon, PayPal, Spotify... Déjà, rien que ces données constituent une base parfaite pour orchestrer une campagne de social engineering ou des tentatives de prise de contrôle de comptes.
Mais, évidemment, ZeroDayRAT va bien plus loin. Le panneau GPS intègre les API de Google Maps avec un historique de localisation. Les notifications de toutes les applications sont interceptées en temps réel : messages WhatsApp, alertes Instagram, appels manqués, publications Telegram, vidéos YouTube... L'opérateur dispose d'une boîte de réception SMS, il peut envoyer des messages depuis le numéro de la victime et récupérer les codes OTP des banques et plateformes pour lesquelles la double authentification est activée.
Surveillance en direct et vol de cryptomonnaies
ZeroDayRAT ne se limite pas à la collecte passive. L'onglet de surveillance permet aussi d'activer et de diffuser la caméra avant ou arrière en direct, d'enregistrer l'écran et d'activer le microphone. Combiné au suivi GPS, un attaquant peut donc voir, écouter et localiser sa cible simultanément. Un keylogger enregistre chaque frappe, chaque geste et chaque opération de déverrouillage biométrique avec horodatage à la milliseconde. En plus, un aperçu d'écran en temps réel s'affiche à côté des logs, et permet donc de corréler ce que voit la victime avec ce qu'elle tape.
On y retrouve aussi un module de vol crypto qui scanne les applications de portefeuilles comme MetaMask, Trust Wallet, Binance et Coinbase. Il récupère les identifiants et les soldes, puis injecte dans le presse-papiers l'adresse de l'attaquant. Les transferts sortants sont ainsi redirigés à l'insu de la victime. Un second module cible les applications bancaires et de paiement (Google Pay, Apple Pay, PayPal) via des attaques par overlay pour capturer les identifiants.
Face à un tel arsenal, iVerify qualifie ZeroDayRAT de "kit de compromission mobile complet", comparable à des outils qui nécessitaient jusqu'à présent des investissements étatiques ou du développement sur mesure. Reste à savoir quand Apple et Google combleront les vulnérabilités exploitées par ce spyware.
