Mirax RAT
Äsja tuvastatud Androidi kaugjuurdepääsu trooja Mirax sihib ulatuslike sotsiaalmeedia kampaaniate kaudu aktiivselt hispaaniakeelseid piirkondi. Ohtlikud tegutsejad on kasutanud reklaame platvormidel nagu Facebook, Instagram, Messenger ja Threads, jõudes enam kui 220 000 kontoni. See laialdane kokkupuude näitab teadlikku püüdlust ära kasutada usaldusväärseid reklaamiökosüsteeme pahavara levitamiseks.
Sisukord
Täiustatud kaugjuhtimisvõimalused
Mirax toimib suure võimekusega kaugjuurdepääsuga troojalasena (RAT), mis annab ründajatele täieliku ja reaalajas kontrolli ohustatud seadmete üle. Selle funktsionaalsus ulatub tavapärastest RAT-toimingutest kaugemale, võimaldades nakatunud süsteemide jälgimist ja nendega suhtlemist detailsel tasemel. Võimaluste hulka kuuluvad klahvivajutuste logimine, fotode väljavõtmine, lukustuskuva andmete kogumine, käskude täitmine, liidese navigeerimine ja kasutajategevuse pidev jälgimine.
Lisaks suudab pahavara oma juhtimis- ja juhtimisinfrastruktuurist (C2) hankida ja kuvada dünaamilisi HTML-kihte, hõlbustades volituste kogumist petlike liideste kaudu.
Ohvrite muutmine vahendusinfrastruktuuriks
Miraxi iseloomulikuks tunnuseks on võime muuta nakatunud seadmed kodukasutajate puhverserveriteks. SOCKS5 protokolli toe ja Yamuxi multipleksimise abil loob pahavara püsivad puhverserveri kanalid, mis suunavad ründaja liiklust läbi õigustatud kasutajate IP-aadresside. See funktsioon võimaldab vastastel mööda hiilida geograafilise asukoha piirangutest, vältida pettuste avastamise mehhanisme ja teostada pahatahtlikke tegevusi, näiteks kontode ülevõtmist, suurendades anonüümsust ja usaldusväärsust.
Pahavara teenusena eksklusiivse juurdepääsuga
Miraxi turustatakse pahavara teenusena (MaaS) nime all „Mirax Bot“. Täisfunktsionaalse versiooni hind on 2500 dollarit kolmekuulise tellimuse eest. Samal ajal on saadaval ka soodushinnaga variant hinnaga 1750 dollarit kuus, millel puuduvad sellised funktsioonid nagu puhverserveri funktsionaalsus ja Google Play Protecti möödaviiguvõimalused. Erinevalt tüüpilistest MaaS-platvormidest on levitamine rangelt kontrollitud ja piiratud piiratud hulga sidusettevõtetega, peamiselt venekeelsete osalejatega, kellel on väljakujunenud maine põrandaalustes foorumites. See eksklusiivsus viitab teadlikule keskendumisele tegevuse turvalisusele ja kampaania jätkusuutlikkusele.
Sotsiaalne manipuleerimine pahatahtliku reklaami kaudu
Nakatumise ahel tugineb suuresti Meta platvormidel majutatud petlikele reklaamikampaaniatele. Need reklaamid reklaamivad petturlikke voogedastusteenuseid, mis pakuvad tasuta juurdepääsu otseülekannetele spordile ja filmidele, meelitades kasutajaid alla laadima pahatahtlikke rakendusi. Tuvastatud on mitu reklaami, mis on tugevalt keskendunud Hispaania kasutajatele. Ainuüksi üks kampaania, mis käivitati 6. aprillil 2026, jõudis ligi 191 000 kasutajani, mis näitab selle levitamisstrateegia ulatust ja tõhusust.
Keerukad kohaletoimetamise ja vältimise tehnikad
Mirax kasutab mitmeastmelist nakatamisprotsessi, mis on loodud tuvastamise ja analüüsi vältimiseks. Dropper-rakendusi levitatakse veebilehtede kaudu, mis rakendavad rangeid juurdepääsukontrolle, tagades, et ainult mobiilikasutajad saavad edasi liikuda, blokeerides samal ajal automaatsed turvakontrollid. Pahatahtlikud APK-failid asuvad GitHubis, mis sulandub veelgi enam legaalsesse infrastruktuuri.
Pärast käivitamist palub pahavara kasutajatel lubada installimine tundmatutest allikatest, käivitades keeruka kasuliku teabe hankimise protsessi, mis on loodud liivakastitehnoloogia ja turvatööriistade möödahiilimiseks. Seejärel maskeerib pahavara end video taasesitusrakenduseks ja taotleb ligipääsetavuse teenuse lube, andes endale ulatusliku kontrolli seadme toimingute üle, töötades samal ajal vaikselt taustal. Kasutajate eksitamiseks kuvatakse võlts installimise tõrketeade, samas kui pahatahtlikud katted varjavad käimasolevat tegevust.
Kampaanias on kasutatud mitmeid eksitavaid rakenduse identiteete:
StreamTV (org.lgvvfj.pluscqpuj või org.dawme.secure5ny) – toimib tilguti funktsioonina
Video taasesitusprogramm (org.yjeiwd.plusdc71 või org.azgaw.managergst1d) – Miraxi kasuliku koormuse edastamine
Juhtimis- ja kontrollarhitektuur ning sidekanalid
Mirax loob oma C2 serveritega mitu kahesuunalist sidekanalit, mis võimaldab tõhusat ülesannete täitmist ja andmete väljavoolu. Erinevaid WebSocket-ühendusi kasutatakse erinevatel operatiivsetel eesmärkidel:
- Port 8443 tegeleb kaugjuurdepääsu haldamise ja käskude täitmisega.
- Port 8444 toetab kaugvoogesitust ja andmete väljavoolu.
- Port 8445 (või kohandatud pordid) hõlbustab SOCKS5-põhiseid koduvõrgu puhverserveri toiminguid.
See segmenteeritud arhitektuur suurendab töökindlust ja tööpaindlikkust, muutes samal ajal tuvastamise keerulisemaks.
Küberkuritegevuse uus etapp
RAT-i ja kodukasutajate puhverserveri võimaluste integreerimine annab märku mobiilsete ohtude disaini olulisest arengust. Ajalooliselt seostati puhverserveri botnetid ohustatud IoT-seadmete või odava Androidi riistvaraga, näiteks nutiteleritega. Mirax esindab nihet nende võimaluste integreerimise suunas täisfunktsionaalsetesse pangatroojanitesse, suurendades dramaatiliselt nii iga nakkuse väärtust kui ka ründajate tegevuse mitmekülgsust.
Kombineerides finantspettuste mehhanisme puhverserveri infrastruktuuriga, võimaldab Mirax ohutegelastel samaaegselt ohvreid otse ära kasutada ja nende seadmeid laiemates küberkuritegevuse ökosüsteemides varadena kasutada.
