Mirax RAT

یک تروجان دسترسی از راه دور اندروید که به تازگی شناسایی شده است، به نام Mirax، به طور فعال مناطق اسپانیایی زبان را از طریق کمپین‌های گسترده در رسانه‌های اجتماعی هدف قرار می‌دهد. عوامل تهدید از تبلیغات در پلتفرم‌هایی مانند فیس‌بوک، اینستاگرام، مسنجر و Threads استفاده کرده و به بیش از ۲۲۰،۰۰۰ حساب کاربری دسترسی پیدا کرده‌اند. این افشای گسترده، تلاشی حساب‌شده برای سوءاستفاده از اکوسیستم‌های تبلیغاتی قابل اعتماد برای توزیع بدافزار را برجسته می‌کند.

قابلیت‌های پیشرفته کنترل از راه دور

Mirax به عنوان یک تروجان دسترسی از راه دور (RAT) بسیار توانمند عمل می‌کند و به مهاجمان کنترل کامل و بلادرنگ بر روی دستگاه‌های آسیب‌دیده را می‌دهد. عملکرد آن فراتر از عملیات استاندارد RAT است و امکان نظارت و تعامل با سیستم‌های آلوده را در سطح جزئی فراهم می‌کند. از جمله قابلیت‌های آن می‌توان به ثبت ضربات کلید، استخراج عکس، جمع‌آوری داده‌های صفحه قفل، اجرای دستور، پیمایش رابط و نظارت مداوم بر فعالیت کاربر اشاره کرد.

علاوه بر این، این بدافزار می‌تواند پوشش‌های HTML پویا را از زیرساخت فرماندهی و کنترل (C2) خود بازیابی و نمایش دهد و برداشت اعتبارنامه‌ها را از طریق رابط‌های فریبنده تسهیل کند.

تبدیل قربانیان به زیرساخت پروکسی

یکی از ویژگی‌های بارز Mirax، توانایی آن در تبدیل دستگاه‌های آلوده به گره‌های پروکسی مسکونی است. این بدافزار با پشتیبانی از پروتکل SOCKS5 در کنار مالتی‌پلکسینگ Yamux، کانال‌های پروکسی پایداری ایجاد می‌کند که ترافیک مهاجم را از طریق آدرس‌های IP قانونی کاربر هدایت می‌کند. این قابلیت، مهاجمان را قادر می‌سازد تا محدودیت‌های موقعیت مکانی را دور بزنند، از مکانیسم‌های تشخیص کلاهبرداری فرار کنند و فعالیت‌های مخربی مانند تصاحب حساب را با ناشناسی و اعتبار بیشتر انجام دهند.

بدافزار به عنوان سرویس با دسترسی انحصاری

میراکس به عنوان یک سرویس بدافزار به عنوان سرویس (MaaS) با نام «Mirax Bot» به بازار عرضه می‌شود. دسترسی به نسخه کامل با قیمت ۲۵۰۰ دلار برای اشتراک سه ماهه ارائه می‌شود. در عین حال، یک نوع ارزان‌تر با قیمت ۱۷۵۰ دلار در ماه در دسترس است که فاقد ویژگی‌هایی مانند قابلیت پروکسی و قابلیت‌های دور زدن Google Play Protect است. برخلاف پلتفرم‌های معمول MaaS، توزیع آن به شدت کنترل می‌شود و به گروه محدودی از شرکت‌های وابسته، عمدتاً بازیگران روسی زبان با شهرت تثبیت‌شده در انجمن‌های زیرزمینی، محدود می‌شود. این انحصار، نشان‌دهنده تمرکز عمدی بر امنیت عملیاتی و اثربخشی پایدار کمپین است.

مهندسی اجتماعی از طریق تبلیغات مخرب

زنجیره آلودگی به شدت به کمپین‌های تبلیغاتی فریبنده‌ای که در پلتفرم‌های Meta میزبانی می‌شوند، متکی است. این تبلیغات، سرویس‌های پخش جعلی را که دسترسی رایگان به ورزش‌های زنده و فیلم‌ها را ارائه می‌دهند، تبلیغ می‌کنند و کاربران را به دانلود برنامه‌های مخرب ترغیب می‌کنند. تبلیغات متعددی شناسایی شده‌اند که تمرکز اصلی آنها بر کاربران اسپانیا بوده است. تنها یک کمپین که در ۶ آوریل ۲۰۲۶ راه‌اندازی شد، به نزدیک به ۱۹۱۰۰۰ کاربر دسترسی پیدا کرد که نشان‌دهنده مقیاس و اثربخشی این استراتژی توزیع است.

تکنیک‌های پیچیده‌ی ارسال و گریز

Mirax از یک فرآیند آلوده‌سازی چند مرحله‌ای استفاده می‌کند که برای جلوگیری از شناسایی و تجزیه و تحلیل طراحی شده است. برنامه‌های Dropper از طریق صفحات وب توزیع می‌شوند که بررسی‌های دسترسی دقیقی را اعمال می‌کنند و تضمین می‌کنند که فقط کاربران تلفن همراه می‌توانند در حین مسدود کردن اسکن‌های امنیتی خودکار، ادامه دهند. فایل‌های APK مخرب در GitHub میزبانی می‌شوند و بیشتر در زیرساخت‌های قانونی ادغام می‌شوند.

پس از اجرا، این بدافزار از کاربران می‌خواهد که نصب از منابع ناشناخته را فعال کنند و یک فرآیند پیچیده استخراج بار داده را آغاز می‌کند که برای دور زدن ابزارهای امنیتی و sandboxing طراحی شده است. سپس این بدافزار خود را به عنوان یک برنامه پخش ویدیو پنهان می‌کند و مجوزهای سرویس دسترسی را درخواست می‌کند و در حالی که به صورت بی‌صدا در پس‌زمینه اجرا می‌شود، کنترل گسترده‌ای بر عملیات دستگاه به آن اعطا می‌شود. یک پیام جعلی عدم موفقیت در نصب نمایش داده می‌شود تا کاربران را گمراه کند، در حالی که پوشش‌های مخرب، فعالیت‌های جاری را پنهان می‌کنند.

این کمپین از چندین هویت برنامه فریبنده استفاده کرده است:

StreamTV (org.lgvvfj.pluscqpuj یا org.dawme.secure5ny) - به عنوان دراپر عمل می‌کند

تکثیرکننده‌ی ویدیو (org.yjeiwd.plusdc71 یا org.azgaw.managergst1d) - ارائه‌ی بدافزار Mirax

معماری فرماندهی و کنترل و کانال‌های ارتباطی

میراکس چندین کانال ارتباطی دو طرفه با سرورهای C2 خود برقرار می‌کند و امکان اجرای کارآمد وظایف و استخراج داده‌ها را فراهم می‌کند. اتصالات WebSocket متمایز برای اهداف عملیاتی مختلف استفاده می‌شوند:

• پورت ۸۴۴۳ مدیریت دسترسی از راه دور و اجرای دستورات را بر عهده دارد.
• پورت ۸۴۴۴ از استریمینگ از راه دور و استخراج داده‌ها پشتیبانی می‌کند.
• پورت ۸۴۴۵ (یا پورت‌های سفارشی) عملیات پروکسی مسکونی مبتنی بر SOCKS5 را تسهیل می‌کند.

این معماری بخش‌بندی‌شده، قابلیت اطمینان و انعطاف‌پذیری عملیاتی را افزایش می‌دهد، در حالی که تلاش‌های تشخیص را پیچیده‌تر می‌کند.

مرحله جدیدی در عملیات مجرمان سایبری

ادغام قابلیت‌های RAT و پروکسی مسکونی، نشان‌دهنده‌ی تکامل قابل توجهی در طراحی تهدیدات موبایل است. از نظر تاریخی، بات‌نت‌های پروکسی با دستگاه‌های اینترنت اشیا آسیب‌دیده یا سخت‌افزارهای اندرویدی کم‌هزینه مانند تلویزیون‌های هوشمند مرتبط بودند. Mirax نشان‌دهنده‌ی تغییر به سمت تعبیه‌ی این قابلیت‌ها در تروجان‌های بانکی با ویژگی‌های کامل است که به طرز چشمگیری هم ارزش هر آلودگی و هم تطبیق‌پذیری عملیات مهاجم را افزایش می‌دهد.

با ترکیب سازوکارهای کلاهبرداری مالی با زیرساخت‌های پروکسی، میراکس به عاملان تهدید این امکان را می‌دهد که همزمان قربانیان را مستقیماً مورد سوءاستفاده قرار دهند و از دستگاه‌های آنها به عنوان دارایی در اکوسیستم‌های گسترده‌تر جرایم سایبری استفاده کنند.