Mirax RAT
Un troià d'accés remot per a Android recentment identificat, Mirax, està atacant activament les regions de parla hispana a través de campanyes a gran escala a les xarxes socials. Els actors amenaçadors han aprofitat els anuncis en plataformes com Facebook, Instagram, Messenger i Threads, arribant a més de 220.000 comptes. Aquesta exposició generalitzada posa de manifest un esforç calculat per explotar ecosistemes publicitaris de confiança per a la distribució de programari maliciós.
Taula de continguts
Capacitats avançades de control remot
Mirax funciona com un troià d'accés remot (RAT) d'alta capacitat, que atorga als atacants un control total i en temps real sobre els dispositius compromesos. La seva funcionalitat s'estén més enllà de les operacions RAT estàndard, permetent la vigilància i la interacció amb els sistemes infectats a nivell granular. Les capacitats inclouen el registre de pulsacions de tecles, l'exfiltració de fotos, la recopilació de dades de la pantalla de bloqueig, l'execució d'ordres, la navegació de la interfície i la supervisió contínua de l'activitat de l'usuari.
A més, el programari maliciós pot recuperar i mostrar superposicions HTML dinàmiques des de la seva infraestructura de comandament i control (C2), facilitant la recol·lecció de credencials a través d'interfícies enganyoses.
Convertir les víctimes en infraestructura intermediaria
Una característica definidora de Mirax és la seva capacitat per convertir dispositius infectats en nodes proxy residencials. En incorporar la compatibilitat amb el protocol SOCKS5 juntament amb la multiplexació Yamux, el programari maliciós estableix canals proxy persistents que enruten el trànsit de l'atacant a través d'adreces IP d'usuari legítimes. Aquesta funcionalitat permet als adversaris eludir les restriccions de geolocalització, evadir els mecanismes de detecció de frau i dur a terme activitats malicioses com ara la presa de control de comptes amb un anonimat i una credibilitat millorats.
Programari maliciós com a servei amb accés exclusiu
Mirax es comercialitza com una oferta de programari maliciós com a servei (MaaS) amb el nom de "Mirax Bot". L'accés a la versió completa té un preu de 2.500 dòlars per una subscripció de tres mesos. Al mateix temps, hi ha disponible una variant reduïda per 1.750 dòlars al mes, que no té funcions com la funcionalitat de proxy i les capacitats d'eludir Google Play Protect. A diferència de les plataformes MaaS típiques, la distribució està estrictament controlada i restringida a un grup limitat d'afiliats, principalment actors de parla russa amb una reputació establerta en fòrums clandestins. Aquesta exclusivitat suggereix un enfocament deliberat en la seguretat operativa i l'eficàcia sostinguda de les campanyes.
Enginyeria social mitjançant publicitat maliciosa
La cadena d'infecció depèn en gran mesura de campanyes publicitàries enganyoses allotjades a les plataformes Meta. Aquests anuncis promouen serveis de streaming fraudulents que ofereixen accés gratuït a esports i pel·lícules en directe, i inciten els usuaris a descarregar aplicacions malicioses. S'han identificat diversos anuncis, amb un fort enfocament en els usuaris d'Espanya. Només una campanya, llançada el 6 d'abril de 2026, va arribar a gairebé 191.000 usuaris, cosa que demostra l'escala i l'eficàcia d'aquesta estratègia de distribució.
Tècniques sofisticades de lliurament i evasió
Mirax utilitza un procés d'infecció de diverses etapes dissenyat per evadir la detecció i l'anàlisi. Les aplicacions Dropper es distribueixen a través de pàgines web que imposen controls d'accés estrictes, garantint que només els usuaris mòbils puguin continuar mentre bloquegen les exploracions de seguretat automatitzades. Els fitxers APK maliciosos s'allotgen a GitHub, integrant-se encara més en una infraestructura legítima.
Un cop executat, el programa de descàrrega demana als usuaris que activin la instal·lació des de fonts desconegudes, iniciant un procés complex d'extracció de càrrega útil dissenyat per evitar les eines de sandbox i seguretat. El programari maliciós es disfressa d'aplicació de reproducció de vídeo i sol·licita permisos de servei d'accessibilitat, atorgant-li un ampli control sobre les operacions del dispositiu mentre s'executa silenciosament en segon pla. Es mostra un missatge fals d'error d'instal·lació per enganyar els usuaris, mentre que les capes malicioses amaguen l'activitat en curs.
La campanya ha utilitzat diverses identitats d'aplicacions enganyoses:
StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny): funciona com a dropper
Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d): lliurament de la càrrega útil de Mirax
Arquitectura de comandament i control i canals de comunicació
Mirax estableix múltiples canals de comunicació bidireccionals amb els seus servidors C2, permetent una execució eficient de tasques i exfiltració de dades. S'utilitzen connexions WebSocket diferents per a diferents finalitats operatives:
- El port 8443 gestiona l'accés remot i l'execució d'ordres.
- El port 8444 admet la transmissió remota i l'exfiltració de dades.
- El port 8445 (o ports personalitzats) facilita les operacions de proxy residencial basades en SOCKS5.
Aquesta arquitectura segmentada millora la fiabilitat i la flexibilitat operativa alhora que complica els esforços de detecció.
Una nova fase en les operacions ciberdelinqüents
La integració de les capacitats RAT i de proxy residencial indica una evolució significativa en el disseny d'amenaces mòbils. Històricament, les botnets proxy s'associaven amb dispositius IoT compromesos o maquinari Android de baix cost, com ara televisors intel·ligents. Mirax representa un canvi cap a la integració d'aquestes capacitats en troians bancaris amb totes les funcions, augmentant dràsticament tant el valor de cada infecció com la versatilitat de les operacions dels atacants.
Combinant mecanismes de frau financer amb infraestructura proxy, Mirax permet als actors d'amenaces explotar simultàniament les víctimes directament i aprofitar els seus dispositius com a actius en ecosistemes ciberdelinqüents més amplis.
