Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Mirax RAT

Mirax RAT

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Ένα πρόσφατα εντοπισμένο trojan απομακρυσμένης πρόσβασης Android, το Mirax, στοχεύει ενεργά ισπανόφωνες περιοχές μέσω μεγάλης κλίμακας καμπανιών κοινωνικής δικτύωσης. Οι απειλητικοί παράγοντες έχουν αξιοποιήσει διαφημίσεις σε πλατφόρμες όπως το Facebook, το Instagram, το Messenger και το Threads, φτάνοντας σε πάνω από 220.000 λογαριασμούς. Αυτή η εκτεταμένη έκθεση υπογραμμίζει μια υπολογισμένη προσπάθεια εκμετάλλευσης αξιόπιστων οικοσυστημάτων διαφήμισης για τη διανομή κακόβουλου λογισμικού.

Προηγμένες δυνατότητες τηλεχειρισμού

Το Mirax λειτουργεί ως ένα εξαιρετικά ικανό Trojan Απομακρυσμένης Πρόσβασης (RAT), παρέχοντας στους εισβολείς πλήρη έλεγχο σε πραγματικό χρόνο σε παραβιασμένες συσκευές. Η λειτουργικότητά του εκτείνεται πέρα από τις τυπικές λειτουργίες RAT, επιτρέποντας την επιτήρηση και την αλληλεπίδραση με μολυσμένα συστήματα σε λεπτομερές επίπεδο. Οι δυνατότητες περιλαμβάνουν καταγραφή πληκτρολόγησης, εξαγωγή φωτογραφιών, συλλογή δεδομένων κλειδωμένης οθόνης, εκτέλεση εντολών, πλοήγηση στη διεπαφή και συνεχή παρακολούθηση της δραστηριότητας των χρηστών.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να ανακτήσει και να εμφανίσει δυναμικές επικαλύψεις HTML από την υποδομή Command-and-Control (C2) που διαθέτει, διευκολύνοντας τη συλλογή διαπιστευτηρίων μέσω παραπλανητικών διεπαφών.

Μετατροπή των θυμάτων σε υποδομή μεσολάβησης

Ένα καθοριστικό χαρακτηριστικό του Mirax είναι η ικανότητά του να μετατρέπει μολυσμένες συσκευές σε οικιακούς κόμβους proxy. Ενσωματώνοντας την υποστήριξη πρωτοκόλλου SOCKS5 παράλληλα με την πολυπλεξία Yamux, το κακόβουλο λογισμικό δημιουργεί μόνιμα κανάλια proxy που δρομολογούν την κίνηση του εισβολέα μέσω νόμιμων διευθύνσεων IP χρηστών. Αυτή η λειτουργικότητα επιτρέπει στους επιτιθέμενους να παρακάμπτουν τους περιορισμούς γεωγραφικής τοποθεσίας, να αποφεύγουν τους μηχανισμούς ανίχνευσης απάτης και να διεξάγουν κακόβουλες δραστηριότητες, όπως καταλήψεις λογαριασμών, με βελτιωμένη ανωνυμία και αξιοπιστία.

Κακόβουλο λογισμικό ως υπηρεσία με αποκλειστική πρόσβαση

Το Mirax διατίθεται στην αγορά ως υπηρεσία κακόβουλου λογισμικού (MaaS) με την ονομασία «Mirax Bot». Η πρόσβαση στην έκδοση με όλες τις λειτουργίες κοστίζει 2.500 δολάρια για τρίμηνη συνδρομή. Ταυτόχρονα, διατίθεται μια μειωμένη έκδοση για 1.750 δολάρια το μήνα, η οποία δεν διαθέτει λειτουργίες όπως η λειτουργικότητα proxy και οι δυνατότητες παράκαμψης του Google Play Protect. Σε αντίθεση με τις τυπικές πλατφόρμες MaaS, η διανομή ελέγχεται αυστηρά και περιορίζεται σε μια περιορισμένη ομάδα συνεργατών, κυρίως ρωσόφωνων φορέων με εδραιωμένη φήμη σε underground φόρουμ. Αυτή η αποκλειστικότητα υποδηλώνει μια σκόπιμη εστίαση στην επιχειρησιακή ασφάλεια και τη διαρκή αποτελεσματικότητα των καμπανιών.

Κοινωνική Μηχανική μέσω Κακόβουλης Διαφήμισης

Η αλυσίδα μόλυνσης βασίζεται σε μεγάλο βαθμό σε παραπλανητικές διαφημιστικές καμπάνιες που φιλοξενούνται σε πλατφόρμες Meta. Αυτές οι διαφημίσεις προωθούν δόλιες υπηρεσίες streaming που προσφέρουν δωρεάν πρόσβαση σε ζωντανά αθλητικά γεγονότα και ταινίες, δελεάζοντας τους χρήστες να κατεβάσουν κακόβουλες εφαρμογές. Έχουν εντοπιστεί πολλαπλές διαφημίσεις, με έντονη εστίαση σε χρήστες στην Ισπανία. Μόνο μία καμπάνια, που ξεκίνησε στις 6 Απριλίου 2026, έφτασε σε σχεδόν 191.000 χρήστες, καταδεικνύοντας την κλίμακα και την αποτελεσματικότητα αυτής της στρατηγικής διανομής.

Εξελιγμένες Τεχνικές Παράδοσης και Υπεκφυγής

Το Mirax χρησιμοποιεί μια διαδικασία μόλυνσης πολλαπλών σταδίων, σχεδιασμένη να αποφεύγει τον εντοπισμό και την ανάλυση. Οι εφαρμογές Dropper διανέμονται μέσω ιστοσελίδων που επιβάλλουν αυστηρούς ελέγχους πρόσβασης, διασφαλίζοντας ότι μόνο οι χρήστες κινητών τηλεφώνων μπορούν να προχωρήσουν, ενώ παράλληλα αποκλείουν τις αυτοματοποιημένες σαρώσεις ασφαλείας. Τα κακόβουλα αρχεία APK φιλοξενούνται στο GitHub, ενσωματώνοντας περαιτέρω την νόμιμη υποδομή.

Μόλις εκτελεστεί, το dropper ζητά από τους χρήστες να ενεργοποιήσουν την εγκατάσταση από άγνωστες πηγές, ξεκινώντας μια σύνθετη διαδικασία εξαγωγής ωφέλιμου φορτίου που έχει σχεδιαστεί για να παρακάμπτει το sandboxing και τα εργαλεία ασφαλείας. Στη συνέχεια, το κακόβουλο λογισμικό μεταμφιέζεται σε εφαρμογή αναπαραγωγής βίντεο και ζητά δικαιώματα υπηρεσίας προσβασιμότητας, παρέχοντάς του εκτεταμένο έλεγχο στις λειτουργίες της συσκευής ενώ εκτελείται αθόρυβα στο παρασκήνιο. Εμφανίζεται ένα ψεύτικο μήνυμα αποτυχίας εγκατάστασης για να παραπλανήσει τους χρήστες, ενώ κακόβουλες επικαλύψεις αποκρύπτουν την τρέχουσα δραστηριότητα.

Η καμπάνια έχει χρησιμοποιήσει αρκετές παραπλανητικές ταυτότητες εφαρμογών:

StreamTV (org.lgvvfj.pluscqpuj ή org.dawme.secure5ny) – λειτουργεί ως dropper

Αναπαραγωγέας βίντεο (org.yjeiwd.plusdc71 ή org.azgaw.managergst1d) – παράδοση του ωφέλιμου φορτίου Mirax

Αρχιτεκτονική Διοίκησης και Ελέγχου και Κανάλια Επικοινωνίας

Η Mirax δημιουργεί πολλαπλά αμφίδρομα κανάλια επικοινωνίας με τους διακομιστές C2, επιτρέποντας την αποτελεσματική εκτέλεση εργασιών και την εξαγωγή δεδομένων. Διακριτές συνδέσεις WebSocket χρησιμοποιούνται για διαφορετικούς λειτουργικούς σκοπούς:

  • Η θύρα 8443 χειρίζεται τη διαχείριση απομακρυσμένης πρόσβασης και την εκτέλεση εντολών.
  • Η θύρα 8444 υποστηρίζει απομακρυσμένη ροή και εξαγωγή δεδομένων.
  • Η θύρα 8445 (ή οι προσαρμοσμένες θύρες) διευκολύνουν τις λειτουργίες οικιακού διακομιστή μεσολάβησης που βασίζονται στο SOCKS5.

Αυτή η τμηματοποιημένη αρχιτεκτονική ενισχύει την αξιοπιστία και την λειτουργική ευελιξία, ενώ παράλληλα περιπλέκει τις προσπάθειες ανίχνευσης.

Μια Νέα Φάση στις Επιχειρήσεις στον Κυβερνοεγκληματικότητα

Η ενσωμάτωση των δυνατοτήτων RAT και οικιακού proxy σηματοδοτεί μια σημαντική εξέλιξη στον σχεδιασμό απειλών για κινητά. Ιστορικά, τα botnet proxy συσχετίζονταν με παραβιασμένες συσκευές IoT ή με οικονομικό υλικό Android, όπως οι έξυπνες τηλεοράσεις. Το Mirax αντιπροσωπεύει μια στροφή προς την ενσωμάτωση αυτών των δυνατοτήτων σε πλήρως λειτουργικά τραπεζικά trojans, αυξάνοντας δραματικά τόσο την αξία κάθε μόλυνσης όσο και την ευελιξία των λειτουργιών του εισβολέα.

Συνδυάζοντας μηχανισμούς οικονομικής απάτης με υποδομή proxy, το Mirax επιτρέπει στους απειλητικούς παράγοντες να εκμεταλλεύονται ταυτόχρονα τα θύματα άμεσα και να αξιοποιούν τις συσκευές τους ως περιουσιακά στοιχεία σε ευρύτερα οικοσυστήματα κυβερνοεγκλήματος.


Τάσεις

Απάτη μέσω email για την ασφάλεια εφαρμογών ιστού

Phishing, Ανεπιθύμητη αλληλογραφία
Στο σημερινό τοπίο απειλών, το email παραμένει ένα από τα πιο συνηθισμένα σημεία εισόδου για κυβερνοεπιθέσεις. Οι χρήστες πρέπει να παραμένουν σε εγρήγορση όταν αντιμετωπίζουν απροσδόκητα μηνύματα, ειδικά εκείνα που προτρέπουν για άμεση δράση. Πολλά από αυτά τα email είναι προσεκτικά σχεδιασμένες απάτες και είναι σημαντικό να κατανοήσουμε ότι δεν σχετίζονται με καμία νόμιμη εταιρεία, οργανισμό...

Απάτη με αίτημα απενεργοποίησης λογαριασμού email

Phishing, Ανεπιθύμητη αλληλογραφία
Στο σημερινό τοπίο απειλών, η επαγρύπνηση για απροσδόκητα email είναι κρίσιμη. Οι κυβερνοεγκληματίες βασίζονται στην επείγουσα ανάγκη, τον φόβο και την απομίμηση για να ξεγελάσουν τους χρήστες ώστε να λάβουν γρήγορες αποφάσεις. Η λεγόμενη απάτη «Αίτημα απενεργοποίησης λογαριασμού email» είναι ένα σαφές παράδειγμα του πόσο εύκολα μπορούν οι εισβολείς να μιμηθούν νόμιμες επικοινωνίες. Αυτά τα...

Περισσότερες εμφανίσεις

Φόρτωση...