Mirax RAT
En nyligt identificeret Android-fjernadgangstrojan, Mirax, er aktivt målrettet spansktalende områder gennem store sociale mediekampagner. Trusselaktører har udnyttet annoncer på platforme som Facebook, Instagram, Messenger og Threads og har nået ud til over 220.000 konti. Denne udbredte eksponering understreger en kalkuleret indsats for at udnytte pålidelige reklameøkosystemer til distribution af malware.
Indholdsfortegnelse
Avancerede fjernbetjeningsfunktioner
Mirax fungerer som en yderst kapabel Remote Access Trojan (RAT), der giver angribere fuld kontrol i realtid over kompromitterede enheder. Dens funktionalitet rækker ud over standard RAT-operationer og muliggør overvågning og interaktion med inficerede systemer på et detaljeret niveau. Funktionerne omfatter logføring af tastetryk, fotoeksfiltrering, indsamling af data på låseskærmen, udførelse af kommandoer, grænsefladenavigation og kontinuerlig overvågning af brugeraktivitet.
Derudover kan malwaren hente og vise dynamiske HTML-overlays fra sin Command-and-Control (C2) infrastruktur, hvilket muliggør indsamling af legitimationsoplysninger via vildledende grænseflader.
At gøre ofre til proxy-infrastruktur
Et definerende kendetegn ved Mirax er dens evne til at konvertere inficerede enheder til proxy-noder til private hjem. Ved at integrere SOCKS5-protokolunderstøttelse sammen med Yamux-multipleksing etablerer malwaren persistente proxy-kanaler, der dirigerer angribertrafik gennem legitime bruger-IP-adresser. Denne funktionalitet gør det muligt for modstandere at omgå geolokationsrestriktioner, undgå svindeldetekteringsmekanismer og udføre ondsindede aktiviteter såsom kontoovertagelser med forbedret anonymitet og troværdighed.
Malware-som-en-tjeneste med eksklusiv adgang
Mirax markedsføres som et Malware-as-a-Service (MaaS)-tilbud under navnet 'Mirax Bot'. Adgang til den komplette version koster $2.500 for et tremåneders abonnement. Samtidig er en reduceret variant tilgængelig for $1.750 om måneden, som mangler funktioner som proxy-funktionalitet og Google Play Protect-omgåelsesmuligheder. I modsætning til typiske MaaS-platforme er distributionen stramt kontrolleret og begrænset til en begrænset gruppe af partnere, primært russisktalende aktører med et etableret omdømme i undergrundsfora. Denne eksklusivitet antyder et bevidst fokus på operationel sikkerhed og vedvarende kampagneeffektivitet.
Social manipulation gennem ondsindet reklame
Infektionskæden er i høj grad afhængig af vildledende reklamekampagner, der hostes på Meta-platforme. Disse reklamer promoverer falske streamingtjenester, der tilbyder gratis adgang til live sport og film, og lokker brugerne til at downloade ondsindede applikationer. Der er blevet identificeret flere annoncer med et stærkt fokus på brugere i Spanien. Alene én kampagne, der blev lanceret den 6. april 2026, nåede næsten 191.000 brugere, hvilket demonstrerer omfanget og effektiviteten af denne distributionsstrategi.
Sofistikerede leverings- og undvigelsesteknikker
Mirax anvender en flertrinsinfektionsproces, der er designet til at undgå detektion og analyse. Dropper-applikationer distribueres via websider, der håndhæver strenge adgangskontroller, hvilket sikrer, at kun mobilbrugere kan fortsætte, mens automatiserede sikkerhedsscanninger blokeres. De ondsindede APK-filer hostes på GitHub og integreres yderligere i den legitime infrastruktur.
Når den er udført, beder dropperen brugerne om at aktivere installation fra ukendte kilder, hvilket starter en kompleks dataudtrækningsproces, der er designet til at omgå sandboxing og sikkerhedsværktøjer. Malwaren forklæder sig derefter som et videoafspilningsprogram og anmoder om tilladelser til tilgængelighedstjenester, hvilket giver den omfattende kontrol over enhedens handlinger, mens den kører lydløst i baggrunden. En falsk meddelelse om installationsfejl vises for at vildlede brugerne, mens ondsindede overlays skjuler igangværende aktivitet.
Kampagnen har brugt adskillige vildledende applikationsidentiteter:
StreamTV (org.lgvvfj.pluscqpuj eller org.dawme.secure5ny) – fungerer som dropper
Videoafspiller (org.yjeiwd.plusdc71 eller org.azgaw.managergst1d) – leverer Mirax-nyttelasten
Kommando- og kontrolarkitektur og kommunikationskanaler
Mirax etablerer flere tovejskommunikationskanaler med sine C2-servere, hvilket muliggør effektiv opgaveudførelse og dataudvinding. Forskellige WebSocket-forbindelser bruges til forskellige operationelle formål:
- Port 8443 håndterer fjernadgangsstyring og kommandoudførelse.
- Port 8444 understøtter fjernstreaming og dataudfiltrering.
- Port 8445 (eller brugerdefinerede porte) muliggør SOCKS5-baserede proxy-operationer til private.
Denne segmenterede arkitektur forbedrer pålideligheden og driftsfleksibiliteten, samtidig med at den komplicerer detektionsindsatsen.
En ny fase i cyberkriminelle operationer
Integrationen af RAT og proxyfunktioner til private signalerer en betydelig udvikling inden for mobiltrusselsdesign. Historisk set var proxy-botnet forbundet med kompromitterede IoT-enheder eller billig Android-hardware såsom smart-tv'er. Mirax repræsenterer et skift i retning af at integrere disse funktioner i komplette banktrojanere, hvilket dramatisk øger både værdien af hver infektion og alsidigheden af angriberoperationer.
Ved at kombinere mekanismer til økonomisk svindel med proxy-infrastruktur gør Mirax det muligt for trusselsaktører samtidig at udnytte ofre direkte og udnytte deres enheder som aktiver i bredere cyberkriminelle økosystemer.
