Smartphones sind ständig mit dem Netz verbunden; zudem haben die Besitzer diese stets bei sich. Die persönlichen Informationen, welche sich durch einen Vollzugriff darauf gewinnen lassen, sind dementsprechend umfassend. Daniel Kelley, der sich als geläuterter Black-Hat-Hacker und Sicherheitsforscher bezeichnet, beschreibt eine integrierte Plattform, welche das Ausspionieren kompromittierter Smartphones besonders einfach macht: Das Auslesen umfangreicher privater Informationen gelingt über ein leicht bedienbares Browser-Interface.


Die Screenshots, welche offenbar vom Anbieter der Spyware-Plattform stammen, präsentieren umfangreiche Fähigkeiten: Standort, Textnachrichten, Mitteilungen, Kamerazugriff und Tastatureingaben ließen sich so aus einem entsprechend ferngesteuerten Smartphone, einem OnePlus mit Android 16, abrufen. Auch die Kamera ließ sich aus der Ferne aktivieren, zudem gelang der Zugriff auf Cryptowährungs-Wallets. Die beispielhaft infizierten Geräte waren ein iPhone sowie ein Android-Gerät. Offenbar soll dies für die Betriebssysteme Android 5 bis 16 und für iOS bis hoch zu iOS 26 möglich sein.

Infektion via „Payload“
Wie ein Smartphone für diese Zwecke überlistet werden kann, erklärt der Bericht nur sehr kurz: Jemand müsse eine „bösartige Binärdatei“ darauf befördern. Bei Android gelinge dies über eine APK, bei iOS mittels einer „Payload“. Dies sei via Phishing-Emails, gefälschte App Stores oder per WhatsApp oder Telegram verschickte URLs möglich. Obwohl das Remote Access Toolkit als „ZeroDayRAT“ bezeichnet, bleibt der Bericht Details zu einer vermeintlichen Sicherheitslücke schuldig. Auch ein Hinweis auf eine „Responsible Disclosure“, das branchenübliche Verfahren beim Aufdecken von Sicherheitslücken, fehlt.

Eventuell altbekannt
Möglicherweise handelt es sich bei der Bezeichnung lediglich um eine Marketingbezeichnung. Es ist wahrscheinlich, dass die Infektion unter iOS den üblichen Weg über die Installation eines MDM-Profils erfordert. Zu diesem Zweck muss der Nutzer eigenständig dessen Installation zustimmen. Wird ein Angreifer des iPhones habhaft, müsste dieser den Geräte-Code kennen und mindestens einmal eingeben. Es mag sein, dass die nun veröffentlichte Browser-basierte Plattform das Einsehen von Informationen besonders einfach gestaltet. Dass die Anbieter von ZerodayRAT einen neuen Angriffsvektor für iOS entdeckt haben, lässt sich aus den veröffentlichten Informationen des bei iVerify veröffentlichten Berichts nicht ableiten.

Keine MDM-Profile installieren
Nach wie vor gilt die bekannte Warnung, keine Profile aus unbekannten Quellen zu installieren –insbesondere dann nicht, wenn sie mit einem Versprechen auf kostenlose Software einhergehen. Aus der Hand geben sollte man sein iPhone ebenfalls nur an vertrauenswürdige Personen. Es ist zudem ratsam, den Schutz für gestohlene Geräte zu aktivieren. Exponierte Persönlichkeiten, etwa Journalisten, Menschenrechtsaktivisten oder Prominente, können zudem den Blockierungsmodus aktivieren.