عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة Mirax RAT

Mirax RAT

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة, أدوات الإدارة عن بعد
ترجمة الى:

يستهدف برنامج Mirax، وهو حصان طروادة جديد للتحكم عن بُعد في نظام أندرويد، المناطق الناطقة بالإسبانية بنشاط عبر حملات واسعة النطاق على وسائل التواصل الاجتماعي. وقد استغلّت الجهات الخبيثة الإعلانات على منصات مثل فيسبوك وإنستغرام وماسنجر وثريدز، لتصل إلى أكثر من 220 ألف حساب. يُشير هذا الانتشار الواسع إلى جهد مُخطط له لاستغلال أنظمة الإعلانات الموثوقة لنشر البرامج الضارة.

إمكانيات متقدمة للتحكم عن بعد

يعمل برنامج Mirax كبرنامج حصان طروادة للتحكم عن بُعد (RAT) عالي الكفاءة، مما يمنح المهاجمين تحكمًا كاملًا وفوريًا في الأجهزة المخترقة. تتجاوز وظائفه عمليات RAT القياسية، إذ يُمكّن من مراقبة الأنظمة المصابة والتفاعل معها بدقة متناهية. تشمل قدراته تسجيل ضغطات المفاتيح، واستخراج الصور، وجمع بيانات شاشة القفل، وتنفيذ الأوامر، والتنقل بين واجهات المستخدم، والمراقبة المستمرة لنشاط المستخدم.

بالإضافة إلى ذلك، يمكن للبرامج الضارة استرداد وعرض طبقات HTML الديناميكية من بنية التحكم والسيطرة الخاصة بها، مما يسهل جمع بيانات الاعتماد من خلال واجهات خادعة.

تحويل الضحايا إلى بنية تحتية بالوكالة

من أبرز خصائص برنامج Mirax الخبيث قدرته على تحويل الأجهزة المصابة إلى خوادم بروكسي منزلية. فمن خلال دمج دعم بروتوكول SOCKS5 مع تقنية Yamux متعددة الإرسال، يُنشئ البرنامج قنوات بروكسي دائمة تُوجّه حركة مرور المهاجمين عبر عناوين IP الخاصة بالمستخدمين الشرعيين. تُمكّن هذه الخاصية المهاجمين من تجاوز قيود الموقع الجغرافي، والتهرب من آليات كشف الاحتيال، وتنفيذ أنشطة خبيثة مثل الاستيلاء على الحسابات مع تعزيز إخفاء الهوية والمصداقية.

برامج خبيثة كخدمة مع إمكانية وصول حصرية

يُسوّق برنامج Mirax كخدمة برمجيات خبيثة (MaaS) تحت اسم "Mirax Bot". تبلغ تكلفة الاشتراك لمدة ثلاثة أشهر في النسخة الكاملة 2500 دولار أمريكي. في الوقت نفسه، تتوفر نسخة مُخفّضة بسعر 1750 دولارًا أمريكيًا شهريًا، تفتقر إلى ميزات مثل وظيفة البروكسي وتجاوز حماية Google Play. على عكس منصات MaaS التقليدية، تخضع عملية التوزيع لرقابة صارمة وتقتصر على مجموعة محدودة من الشركاء، معظمهم من الناطقين بالروسية ذوي السمعة الطيبة في المنتديات السرية. تشير هذه الحصرية إلى تركيز مُتعمّد على أمن العمليات وفعالية الحملات على المدى الطويل.

الهندسة الاجتماعية من خلال الإعلانات الخبيثة

تعتمد سلسلة العدوى بشكل كبير على حملات إعلانية خادعة تُبث على منصات ميتا. تروج هذه الإعلانات لخدمات بث وهمية تُقدم وصولاً مجانياً إلى البث المباشر للأحداث الرياضية والأفلام، ما يُغري المستخدمين بتحميل تطبيقات خبيثة. وقد تم رصد العديد من هذه الإعلانات، مع تركيز واضح على المستخدمين في إسبانيا. إحدى هذه الحملات، التي انطلقت في 6 أبريل 2026، وصلت إلى ما يقارب 191 ألف مستخدم، ما يُظهر مدى انتشار هذه الاستراتيجية وفعاليتها.

تقنيات متطورة للتوصيل والتهرب

تستخدم Mirax عملية إصابة متعددة المراحل مصممة لتجنب الكشف والتحليل. يتم توزيع تطبيقات Dropper عبر صفحات ويب تفرض قيودًا صارمة على الوصول، مما يضمن أن مستخدمي الهواتف المحمولة فقط هم من يمكنهم المتابعة مع حظر عمليات الفحص الأمني الآلية. يتم استضافة ملفات APK الخبيثة على GitHub، مما يزيد من اندماجها في البنية التحتية الشرعية.

بمجرد تشغيل البرنامج الخبيث، يطلب من المستخدمين السماح بالتثبيت من مصادر غير معروفة، مما يؤدي إلى بدء عملية استخراج حمولة معقدة مصممة لتجاوز الحماية المعزولة وأدوات الأمان. ثم يتنكر البرنامج الخبيث في هيئة تطبيق لتشغيل الفيديو ويطلب أذونات خدمة الوصول، مما يمنحه تحكمًا واسعًا في عمليات الجهاز أثناء تشغيله بصمت في الخلفية. يتم عرض رسالة خطأ وهمية للتثبيت لتضليل المستخدمين، بينما تخفي طبقات خبيثة النشاط الجاري.

استخدمت الحملة العديد من الهويات الخادعة للتطبيقات:

StreamTV (org.lgvvfj.pluscqpuj أو org.dawme.secure5ny) – يعمل كبرنامج تحميل

مشغل الفيديو (org.yjeiwd.plusdc71 أو org.azgaw.managergst1d) – يقوم بتوصيل حمولة Mirax

بنية القيادة والتحكم وقنوات الاتصال

تُنشئ Mirax قنوات اتصال ثنائية الاتجاه متعددة مع خوادم التحكم والسيطرة الخاصة بها، مما يُمكّن من تنفيذ المهام بكفاءة وتسريب البيانات. وتُستخدم اتصالات WebSocket منفصلة لأغراض تشغيلية مختلفة.

  • يتولى المنفذ 8443 إدارة الوصول عن بعد وتنفيذ الأوامر.
  • يدعم المنفذ 8444 البث عن بعد وتسريب البيانات.
  • يُسهّل المنفذ 8445 (أو المنافذ المخصصة) عمليات البروكسي السكنية القائمة على SOCKS5.

تعمل هذه البنية المجزأة على تعزيز الموثوقية والمرونة التشغيلية مع تعقيد جهود الكشف.

مرحلة جديدة في عمليات الجرائم الإلكترونية

يُشير دمج إمكانيات الوصول عن بُعد (RAT) مع إمكانيات البروكسي المنزلي إلى تطورٍ هام في تصميم التهديدات على الأجهزة المحمولة. تاريخيًا، كانت شبكات الروبوتات التي تستخدم البروكسي مرتبطة بأجهزة إنترنت الأشياء المخترقة أو أجهزة أندرويد منخفضة التكلفة مثل أجهزة التلفاز الذكية. يُمثل Mirax تحولًا نحو دمج هذه الإمكانيات ضمن برامج تجسس مصرفية متكاملة الميزات، مما يزيد بشكلٍ كبير من قيمة كل إصابة وتنوع عمليات المهاجمين.

من خلال الجمع بين آليات الاحتيال المالي والبنية التحتية للوكيل، تُمكّن Mirax الجهات الفاعلة في مجال التهديدات من استغلال الضحايا بشكل مباشر والاستفادة من أجهزتهم كأصول في أنظمة الجريمة الإلكترونية الأوسع نطاقًا.

 

الشائع

رسائل بريد إلكتروني احتيالية تتعلق بأمان تطبيقات الويب

التصيد الاحتيالي, رسائل إلكترونية مزعجة
في ظلّ التهديدات الإلكترونية الحالية، لا يزال البريد الإلكتروني أحد أكثر منافذ الهجمات الإلكترونية شيوعًا. لذا، يجب على المستخدمين توخي الحذر عند التعامل مع الرسائل غير المتوقعة، وخاصة تلك التي تحثّ على اتخاذ إجراء فوري. فالعديد من هذه الرسائل عبارة عن عمليات احتيال مُتقنة، ومن المهم إدراك أنها لا تتبع لأي شركات أو مؤسسات أو جهات شرعية، مهما بدت مقنعة. شرح عملية الاحتيال عبر البريد الإلكتروني...

طلب تعطيل حساب البريد الإلكتروني - عملية احتيال عبر...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
في ظلّ التهديدات الإلكترونية الحالية، يُعدّ الحذر من الرسائل الإلكترونية غير المتوقعة أمرًا بالغ الأهمية. يعتمد مجرمو الإنترنت على استغلال حالة الاستعجال والخوف والتقليد لخداع المستخدمين وحملهم على اتخاذ قرارات متسرعة. تُعدّ عملية الاحتيال المعروفة باسم "طلب تعطيل حساب البريد الإلكتروني" مثالًا واضحًا على سهولة تقليد المهاجمين للرسائل المشروعة. لا ترتبط هذه الرسائل الإلكترونية بأي شركات أو...

الأكثر مشاهدة

جار التحميل...