Mirax RAT
Nově identifikovaný trojský kůň Mirax, který aktivně útočí na vzdálený přístup k systému Android, aktivně cílí na španělsky mluvící regiony prostřednictvím rozsáhlých kampaní na sociálních sítích. Útočníci využívají reklamy na platformách, jako jsou Facebook, Instagram, Messenger a Threads, a oslovují přes 220 000 účtů. Toto rozsáhlé vystavení zdůrazňuje promyšlenou snahu zneužít důvěryhodné reklamní ekosystémy k distribuci malwaru.
Obsah
Pokročilé možnosti dálkového ovládání
Mirax funguje jako vysoce výkonný trojský kůň pro vzdálený přístup (RAT), který útočníkům poskytuje plnou kontrolu nad napadenými zařízeními v reálném čase. Jeho funkčnost přesahuje standardní operace RAT a umožňuje dohled a interakci s infikovanými systémy na granulární úrovni. Mezi jeho schopnosti patří zaznamenávání stisků kláves, exfiltrace fotografií, sběr dat z uzamčené obrazovky, provádění příkazů, navigace v rozhraní a nepřetržité sledování aktivity uživatelů.
Malware navíc dokáže načítat a zobrazovat dynamické HTML překryvy ze své infrastruktury Command-and-Control (C2), což usnadňuje získávání přihlašovacích údajů prostřednictvím klamavých rozhraní.
Proměna obětí v proxy infrastrukturu
Charakteristickým znakem malwaru Mirax je jeho schopnost přeměnit infikovaná zařízení na rezidenční proxy uzly. Díky integraci podpory protokolu SOCKS5 spolu s multiplexováním Yamux malware vytváří perzistentní proxy kanály, které směrují provoz útočníka přes legitimní IP adresy uživatelů. Tato funkce umožňuje útočníkům obejít geolokační omezení, vyhnout se mechanismům detekce podvodů a provádět škodlivé aktivity, jako je převzetí účtů, se zvýšenou anonymitou a důvěryhodností.
Malware jako služba s exkluzivním přístupem
Mirax je prodáván jako nabídka Malware-as-a-Service (MaaS) pod názvem „Mirax Bot“. Přístup k plnohodnotné verzi stojí 2 500 dolarů za tříměsíční předplatné. Zároveň je k dispozici redukovaná varianta za 1 750 dolarů měsíčně, která postrádá funkce, jako je proxy a možnost obejít Google Play Protect. Na rozdíl od typických platforem MaaS je distribuce přísně kontrolována a omezena na omezenou skupinu přidružených subjektů, primárně rusky mluvících aktérů se zavedenou pověstí na undergroundových fórech. Tato exkluzivita naznačuje záměrné zaměření na provozní bezpečnost a trvalou efektivitu kampaní.
Sociální inženýrství prostřednictvím škodlivé reklamy
Řetězec infekce se silně spoléhá na klamavé reklamní kampaně hostované na platformách Meta. Tyto reklamy propagují podvodné streamovací služby nabízející bezplatný přístup k živým sportovním přenosům a filmům a lákají uživatele ke stahování škodlivých aplikací. Bylo identifikováno několik reklam se silným zaměřením na uživatele ve Španělsku. Jen jedna kampaň, spuštěná 6. dubna 2026, oslovila téměř 191 000 uživatelů, což demonstruje rozsah a efektivitu této distribuční strategie.
Sofistikované techniky doručování a úhybných manévrů
Mirax využívá vícestupňový proces infekce, který je navržen tak, aby se vyhnul detekci a analýze. Aplikace typu dropper jsou distribuovány prostřednictvím webových stránek, které vynucují přísné kontroly přístupu, což zajišťuje, že mohou pokračovat pouze mobilní uživatelé, a zároveň blokují automatické bezpečnostní kontroly. Škodlivé soubory APK jsou hostovány na GitHubu, čímž se dále začleňují do legitimní infrastruktury.
Po spuštění dropper vyzve uživatele k povolení instalace z neznámých zdrojů, čímž spustí složitý proces extrakce obsahu, který je navržen tak, aby obešel sandbox a bezpečnostní nástroje. Malware se poté maskuje jako aplikace pro přehrávání videa a požaduje oprávnění služby usnadnění přístupu, což mu poskytuje rozsáhlou kontrolu nad operacemi zařízení, zatímco tiše běží na pozadí. Zobrazí se falešná zpráva o selhání instalace, která uživatele uvede v omyl, zatímco škodlivé překryvné vrstvy maskují probíhající aktivitu.
Kampaň využila několik klamavých identit aplikací:
StreamTV (org.lgvvfj.pluscqpuj nebo org.dawme.secure5ny) – funguje jako dropper
Přehrávač videa (org.yjeiwd.plusdc71 nebo org.azgaw.managergst1d) – doručování datového zatížení Mirax
Architektura velení a řízení a komunikační kanály
Mirax navazuje se svými C2 servery více obousměrných komunikačních kanálů, což umožňuje efektivní provádění úloh a exfiltraci dat. Odlišná připojení WebSocket se používají pro různé provozní účely:
- Port 8443 zajišťuje správu vzdáleného přístupu a provádění příkazů.
- Port 8444 podporuje vzdálené streamování a exfiltraci dat.
- Port 8445 (nebo vlastní porty) usnadňuje provoz rezidenčních proxy serverů založených na protokolu SOCKS5.
Tato segmentovaná architektura zvyšuje spolehlivost a provozní flexibilitu a zároveň komplikuje detekční úsilí.
Nová fáze v operacích kybernetické kriminality
Integrace RAT a možností rezidenčních proxy serverů signalizuje významný vývoj v designu mobilních hrozeb. Historicky byly proxy botnety spojovány s napadenými zařízeními IoT nebo levným hardwarem Android, jako jsou chytré televizory. Mirax představuje posun směrem k integraci těchto funkcí do plnohodnotných bankovních trojských koní, což dramaticky zvyšuje jak hodnotu každé infekce, tak všestrannost operací útočníka.
Kombinací mechanismů finančních podvodů s proxy infrastrukturou umožňuje Mirax aktérům hrozeb současně přímo zneužívat oběti a zneužívat jejich zařízení jako aktiva v širších ekosystémech kybernetické kriminality.
