Mirax RAT
Новоидентифицираният троянски кон за отдалечен достъп до Android, Mirax, активно се насочва към испаноезични региони чрез мащабни кампании в социалните медии. Злонамерените лица са използвали реклами в платформи като Facebook, Instagram, Messenger и Threads, достигайки до над 220 000 акаунта. Това широко разпространено разкриване подчертава целенасочените усилия за използване на надеждни рекламни екосистеми за разпространение на зловреден софтуер.
Съдържание
Разширени възможности за дистанционно управление
Mirax действа като високоефективен троянски кон за отдалечен достъп (RAT), предоставяйки на нападателите пълен контрол в реално време върху компрометирани устройства. Функционалността му се простира отвъд стандартните RAT операции, позволявайки наблюдение и взаимодействие със заразените системи на гранулирано ниво. Възможностите включват регистриране на натискания на клавиши, извличане на снимки, събиране на данни от заключен екран, изпълнение на команди, навигация в интерфейса и непрекъснато наблюдение на потребителската активност.
Освен това, зловредният софтуер може да извлича и показва динамични HTML наслагвания от своята инфраструктура за командване и контрол (C2), улеснявайки събирането на идентификационни данни чрез измамни интерфейси.
Превръщане на жертвите в прокси инфраструктура
Определяща характеристика на Mirax е способността му да конвертира заразените устройства в жилищни прокси възли. Чрез включване на поддръжка на протокола SOCKS5, наред с мултиплексирането на Yamux, зловредният софтуер установява постоянни прокси канали, които насочват трафика на атакуващите през легитимни IP адреси на потребители. Тази функционалност позволява на злонамерените лица да заобикалят ограниченията за геолокация, да избягват механизмите за откриване на измами и да извършват злонамерени дейности, като например поглъщане на акаунти, с подобрена анонимност и надеждност.
Зловреден софтуер като услуга с ексклузивен достъп
Mirax се предлага на пазара като Malware-as-a-Service (MaaS) предложение под името „Mirax Bot“. Достъпът до пълнофункционалната версия е на цена от 2500 долара за тримесечен абонамент. В същото време се предлага и намален вариант за 1750 долара на месец, без функции като прокси функционалност и възможности за заобикаляне на Google Play Protect. За разлика от типичните MaaS платформи, разпространението е строго контролирано и е ограничено до ограничена група партньори, предимно рускоезични участници с установена репутация в подземни форуми. Тази ексклузивност предполага умишлен фокус върху оперативната сигурност и устойчивата ефективност на кампаниите.
Социално инженерство чрез злонамерена реклама
Веригата за заразяване разчита до голяма степен на подвеждащи рекламни кампании, хоствани на Meta платформи. Тези реклами популяризират измамни стрийминг услуги, предлагащи безплатен достъп до спортни предавания и филми на живо, примамвайки потребителите да изтеглят злонамерени приложения. Идентифицирани са множество реклами, със силен фокус върху потребителите в Испания. Само една кампания, стартирана на 6 април 2026 г., достигна до близо 191 000 потребители, демонстрирайки мащаба и ефективността на тази стратегия за разпространение.
Сложни техники за доставка и избягване
Mirax използва многоетапен процес на заразяване, предназначен да избегне откриването и анализа. Приложенията за пускане на вируси се разпространяват чрез уеб страници, които налагат строги проверки за достъп, като гарантират, че само мобилни потребители могат да продължат, като същевременно блокират автоматизираните сканирания за сигурност. Злонамерените APK файлове се хостват в GitHub, като по този начин се сливат допълнително с легитимната инфраструктура.
След като се изпълни, зловредният софтуер подканва потребителите да разрешат инсталиране от неизвестни източници, като инициира сложен процес на извличане на полезен товар, проектиран да заобиколи пясъчната кутия и инструментите за сигурност. След това зловредният софтуер се маскира като приложение за възпроизвеждане на видео и изисква разрешения за достъпност, което му предоставя широк контрол върху операциите на устройството, докато работи тихо във фонов режим. Показва се фалшиво съобщение за неуспешна инсталация, за да подведе потребителите, докато злонамерени наслагвания прикриват текущата активност.
Кампанията е използвала няколко подвеждащи самоличности на приложения:
StreamTV (org.lgvvfj.pluscqpuj или org.dawme.secure5ny) – функциониращ като дропър
Видеовъзпроизвеждач (org.yjeiwd.plusdc71 или org.azgaw.managergst1d) – доставяне на полезния товар на Mirax
Архитектура на командно-контролната система и комуникационни канали
Mirax установява множество двупосочни комуникационни канали със своите C2 сървъри, което позволява ефективно изпълнение на задачи и извличане на данни. Различни WebSocket връзки се използват за различни оперативни цели:
- Порт 8443 обработва управлението на отдалечен достъп и изпълнението на команди.
- Порт 8444 поддържа отдалечено стрийминг и извличане на данни.
- Порт 8445 (или персонализирани портове) улеснява SOCKS5-базираните прокси операции за жилищни помещения.
Тази сегментирана архитектура повишава надеждността и оперативната гъвкавост, като същевременно усложнява усилията за откриване.
Нов етап в киберпрестъпните операции
Интегрирането на RAT и възможностите за жилищни прокси сървъри сигнализира за значителна еволюция в дизайна на мобилните заплахи. В миналото прокси ботнет мрежите са били свързвани с компрометирани IoT устройства или евтин Android хардуер, като например смарт телевизори. Mirax представлява промяна към вграждане на тези възможности в пълнофункционални банкови троянски коне, което драстично увеличава както стойността на всяка инфекция, така и гъвкавостта на операциите на нападателя.
Чрез комбиниране на механизми за финансови измами с прокси инфраструктура, Mirax позволява на злонамерените лица едновременно да експлоатират жертвите директно и да използват устройствата им като активи в по-широки киберпрестъпни екосистеми.
