Detailná analýza ZeroDayRAT, ktorý ovládol iOS aj Android.
V digitálnej ére roku 2026 sa smartfón stal centrálnym bodom ľudskej existencie. Zariadenia dnes uchovávajú bankové údaje, súkromnú komunikáciu, históriu pohybu aj prístupy k najcitlivejším infraštruktúram. S rastúcou dôležitosťou týchto terminálov však úmerne narastá aj sofistikovanosť nástrojov určených na ich napadnutie. Bezpečnostná firma iVerify najnovšie odhalila platformu ZeroDayRAT, ktorá v oblasti mobilného malvéru zásadne mení pravidlá hry.
Tento mobilný trójsky kôň dokáže prebrať takmer absolútnu kontrolu nad zariadením bez ohľadu na to, či ide o najnovší iPhone alebo vlajkovú loď so systémom Android. To, čo robí malvér výnimočným a zároveň nebezpečným, nie je len technický dosah, ale najmä model jeho distribúcie. Podľa analýzy, ktorú zverejnil Alfonso Maruccia, nejde o nástroj vyvinutý amatérskymi hackermi v provizórnych podmienkach.
Vývojári k tomuto malvéru pristupujú ako k serióznemu biznisu. Šírenie prebieha masívne cez platformu Telegram, kde bol kód prvýkrát detegovaný 2. februára 2026. Predajca ho ponúka ako kompletný komerčný balík (Spyware-as-a-Service). Kupujúci nezískava len surový kód, ale má k dispozícii plnohodnotnú zákaznícku podporu, pravidelné aktualizácie reagujúce na bezpečnostné záplaty spoločností Apple a Google, a prehľadný cloudový dashboard.
Cez toto rozhranie je možné infikované telefóny ovládať jednoduchým klikaním v prehliadači. Úroveň komplexnosti tohto malvéru bola doteraz dosiahnuteľná len pre štátom sponzorované skupiny (tzv. nation-state attackers) s obrovským rozpočtom. Dnes je však dostupná na čiernom trhu prakticky pre kohokoľvek. ZeroDayRAT sa pritom nespolieha na zložité technické exploity bez interakcie. Namiesto toho efektívne využíva najslabší článok reťazca – človeka.
Hlavným vektorom šírenia sú smishingové kampane, teda phishing realizovaný cez SMS správy. Mechanizmus útoku prebieha v niekoľkých fázach. Používateľ dostane SMS správu, ktorá imituje dôležité upozornenie od banky, kuriérskej služby alebo štátnej inštitúcie. Správa obsahuje link smerujúci na webovú stránku, ktorá vizuálne kopíruje legitímnu aplikáciu. Po kliknutí na odkaz a stiahnutí inštalačného balíka (payload) sa na pozadí okamžite aktivujú špionážne komponenty.
Navonok sa pritom aplikácia môže javiť ako funkčný a neškodný nástroj. Okrem SMS správ sa malvér šíri aj cez falošné obchody s aplikáciami, phishingové e-maily a infikované odkazy v komunikačných platformách WhatsApp alebo Telegram. Akonáhle dôjde k úspešnej infekcii, útočník získa prístup k vzdialenému rozhraniu organizovanému do prehľadných sekcií.
V tomto rozhraní je možné sledovať kompletný technický pasport zariadenia: presný model, verziu operačného systému, stav batérie, lokalitu, informácie o SIM karte a zoznam spustených aplikácií. Systém dokáže v reálnom čase zachytávať notifikácie, čo útočníkovi umožňuje čítať konverzácie na WhatsAppe, sledovať bankové upozornenia či prichádzajúce správy. Vďaka prístupu ku GPS dátam je možné vykresliť presný pohyb obete na mape.
Spyware taktiež agresívne zbiera prihlasovacie údaje k službám Google, Facebook či Amazon. Kritickým bodom je schopnosť sledovať prichádzajúce SMS správy a zachytávať jednorazové 2FA kódy pre dvojfaktorovú autentifikáciu, čím sa útočníkovi otvára cesta priamo do používateľských účtov. Schopnosti ZeroDayRAT však presahujú len čítanie textových dát. Funkcie živej špionáže robia z telefónu dokonalú plošticu.
Na diaľku je možné aktivovať mikrofón pre odpočúvanie rozhovorov alebo zapnúť prednú aj zadnú kameru. Dashboard umožňuje sledovať obrazovku v reálnom čase, takže útočník vidí presne to isté, čo používateľ – vrátane zadávania prístupov k firemným VPN či prezerania súkromných fotografií. Zaznamenávaný je každý dotyk klávesnice (keylogging). Heslá, správy aj osobné poznámky putujú priamo na server útočníka.
Softvér je navyše optimalizovaný na vyhľadávanie prístupov k bankovým aplikáciám a kryptomenovým peňaženkám. Podľa varovania iVerify znamená takáto infekcia pre jednotlivca totálnu stratu súkromia a pre organizácie predstavuje riziko rozsiahlej exfiltrácie firemných dát. V technologických fórach sa po zverejnení týchto informácií rozprúdila diskusia.
Časť odbornej verejnosti zostáva skeptická a poukazuje na to, že správa môže byť čiastočne nadsadená s cieľom podporiť predaj bezpečnostných riešení danej firmy. Používateľ Axeia napríklad vyjadril pochybnosť o funkčnosti takejto hrozby na systéme iOS bez predošlého jailbreaku, keďže Apple inštaláciu súborov mimo App Store striktne obmedzuje.
Zostáva tiež otvorenou otázkou, ako by tento malvér reagoval na pokročilé ochranné mechanizmy, akým je Lockdown Mode od Applu alebo bezpečnostne orientované systémy typu GrapheneOS. Analytici však pripomínajú, že hoci je ZeroDayRAT novinkou, v kybernetickom priestore už dlhšie operujú ešte sofistikovanejšie nástroje ako Pegasus či Paragon, ktoré dokážu infikovať zariadenie aj bez akejkoľvek interakcie používateľa (zero-click).
Hlavným posolstvom objavu je nevyhnutná zmena vnímania bezpečnosti. Mobilné zariadenia už nemožno považovať za „bezpečnejšie hračky“ v porovnaní s klasickými počítačmi. K smartfónom je potrebné pristupovať s rovnakou mierou ostražitosti ako k firemným serverom.
Z hľadiska prevencie zostávajú kľúčovými faktormi ostražitosť pri prijímaní správ z neznámych zdrojov, striktné vyhýbanie sa inštalácii aplikácií mimo oficiálnych obchodov a pravidelná aktualizácia systému. ZeroDayRAT jasne demonštruje, že digitálna opona medzi bežnou kriminalitou a štátnym hackingom sa definitívne zrútila. Súkromie v roku 2026 už nie je garantované samotným systémom, ale primárne správaním používateľa.
