ANALIZA EKSPERCKA | SPY24.PL
Nowy trojan na Androidzie i iOS jak Pegasus?
Analiza ZeroDayRAT i realne zagrożenie dla użytkowników
Autor: Tomasz Paćkowski | SpyGroup / Spy24 | Luty 2026
⚠️ Czy ZeroDayRAT to nowy Pegasus?
W sieci pojawiły się informacje o nowej platformie mobilnego spyware, która rzekomo umożliwia pełne przejęcie kontroli nad telefonem z Androidem oraz iOS. Narzędzie ma pozwalać na podsłuchiwanie rozmów, przechwytywanie kodów 2FA, śledzenie lokalizacji GPS oraz dostęp do kamer i mikrofonu.
Sprawdzamy, co jest realnym zagrożeniem, a co marketingową narracją sprzedawców malware.
Czym jest ZeroDayRAT?
ZeroDayRAT reklamowany jest jako komercyjna platforma typu RAT (Remote Access Trojan) sprzedawana w modelu "malware-as-a-service". Oferowany ma być:
- Panel administracyjny online
- Zdalne zarządzanie urządzeniami
- Przechwytywanie SMS i powiadomień
- Keylogging
- Dostęp do GPS
- Aktywacja kamery i mikrofonu
- Moduł kradzieży kryptowalut
W teorii brzmi jak Pegasus. W praktyce -- sprawa jest bardziej złożona.
Android -- zagrożenie realne
⚠️ Android: przejęcie urządzenia jest możliwe
W przypadku Androida przejęcie urządzenia jest możliwe, jeżeli użytkownik wykona szereg kroków -- każdy z nich wymaga świadomej interakcji:
- Zainstaluje aplikację APK spoza sklepu Google Play
- Nada jej uprawnienia do dostępności (Accessibility)
- Przyzna dostęp do SMS
- Zaakceptuje wyświetlanie nakładek (overlay)
- Wyłączy zabezpieczenia Google Play Protect
W takim scenariuszu trojan może:
- Kraść dane logowania
- Przechwytywać kody SMS
- Symulować kliknięcia
- Podmieniać treści na ekranie (atak overlay)
- Śledzić lokalizację
💡 To model znany z bankowych trojanów -- nie jest to technologiczna nowość, ale realne zagrożenie dla nieostrożnych użytkowników.
iOS -- czy to możliwe bez jailbreaka?
🔒 iOS: pełna kontrola wymaga zaawansowanych exploitów
Aby uzyskać pełną kontrolę nad iPhone'em, konieczne jest spełnienie jednego z poniższych warunków:
- Wykorzystanie poważnej luki typu zero-day
- Exploit na poziomie jądra systemu
- Zero-click exploit (jak w przypadku Pegasusa)
- Instalacja przez profil MDM lub certyfikat enterprise
- Jailbreak urządzenia
Masowa sprzedaż takiego exploita na Telegramie jest mało prawdopodobna. Prawdziwe luki zero-day dla iOS kosztują miliony dolarów i są używane selektywnie przez podmioty państwowe.
⚠️ Dlatego twierdzenie, że malware "działa na najnowszym iOS bez ograniczeń", należy traktować z dużą ostrożnością.
Przechwytywanie 2FA i bankowości
| Android | iOS |
|---|---|
|
✓ Dostęp do SMS = przejęcie kodów jednorazowych ✓ Overlay = wyłudzenie loginów do banku ✓ Keylogging = rejestrowanie danych |
✗ Przejęcie SMS bez exploita systemowego -- praktycznie niemożliwe ✗ Push 2FA wymagałoby dostępu systemowego |
Moduł kradzieży kryptowalut -- klasyczny schemat
W artykule wspomniano o:
- Skanowaniu portfeli (MetaMask, Binance, Coinbase)
- Podmianie adresów w schowku
- Wyłudzaniu seed phrase
To znane techniki stosowane przez mobilne trojany i nie stanowią technologicznej nowości.
Czy ZeroDayRAT to drugi Pegasus?
| Pegasus | ZeroDayRAT |
|---|---|
|
• Narzędzie klasy państwowej • Zero-click exploity • Brak interakcji użytkownika |
• Socjotechnika • Phishing SMS (smishing) • Fałszywe aplikacje • Dystrybucja przez komunikatory |
💡 Różnica jest zasadnicza. Pegasus to broń cyfrowa klasy państwowej. ZeroDayRAT to trojan bankowy dystrybuowany socjotechnicznie.
Jak sprawdzić, czy telefon jest zainfekowany?
🤖 Android -- na co zwrócić uwagę:
- Aplikacje z uprawnieniem Accessibility
- Aplikacje spoza Google Play
- Aktywne usługi w tle
- Nieznane aplikacje z dostępem do SMS
- Nietypowy ruch sieciowy
- Nadmierne zużycie baterii
🍎 iOS -- co sprawdzić:
- Profile MDM (Ustawienia → VPN i zarządzanie urządzeniem)
- Certyfikaty enterprise
- Nieznane konfiguracje VPN
- Nietypowe profile zarządzania
🔬 Profesjonalna analiza obejmuje:
- Analizę logiczną i fizyczną urządzenia
- Przegląd provisioning profile
- Analizę logów systemowych
- Analizę ruchu sieciowego
- Badanie artefaktów aplikacji
Jak chronić się przed spyware?
🛡 Zasady ochrony:
✓ Nie instaluj APK spoza oficjalnych sklepów.
✓ Nie klikaj linków w SMS od nieznanych nadawców.
✓ Nie instaluj aplikacji przez linki z WhatsApp czy Telegrama.
✓ Aktualizuj system operacyjny -- regularnie.
✓ Używaj uwierzytelniania aplikacyjnego zamiast SMS.
✓ Regularnie sprawdzaj profile zarządzania w iOS.
Podsumowanie
⚖️ Werdykt eksperta
ZeroDayRAT może być realnym zagrożeniem w modelu socjotechnicznym -- szczególnie dla użytkowników Androida.
Nie ma jednak dowodów, że jest to masowy odpowiednik Pegasusa wykorzystujący zaawansowane exploity zero-click na najnowszym iOS.
W praktyce najczęstszą przyczyną infekcji pozostaje: kliknięcie w link phishingowy, instalacja fałszywej aplikacji i nadanie zbyt szerokich uprawnień.
