Mirax-rotta
Äskettäin tunnistettu Android-etäkäyttötroijalainen Mirax kohdistaa aktiivisesti mainoksia espanjankielisille alueille laajojen sosiaalisen median kampanjoiden kautta. Uhkatoimijat ovat hyödyntäneet mainoksia alustoilla, kuten Facebook, Instagram, Messenger ja Threads, ja tavoittaneet yli 220 000 tiliä. Tämä laajalle levinnyt paljastuminen korostaa harkittua pyrkimystä hyödyntää luotettavia mainosekosysteemejä haittaohjelmien levittämiseen.
Sisällysluettelo
Edistyneet kauko-ohjausominaisuudet
Mirax toimii erittäin tehokkaana etäkäyttötroijalaisena (RAT), joka antaa hyökkääjille täyden reaaliaikaisen hallinnan vaarantuneisiin laitteisiin. Sen toiminnallisuus ulottuu RAT-toimintojen rajojen ulkopuolelle mahdollistaen tartunnan saaneiden järjestelmien valvonnan ja vuorovaikutuksen niiden kanssa yksityiskohtaisella tasolla. Ominaisuuksiin kuuluvat näppäinpainallusten lokitiedot, valokuvien vuotaminen, lukitusnäytön tietojen kerääminen, komentojen suorittaminen, käyttöliittymän navigointi ja käyttäjän toiminnan jatkuva seuranta.
Lisäksi haittaohjelma voi hakea ja näyttää dynaamisia HTML-peittokuvia komento- ja hallintainfrastruktuuristaan (C2), mikä helpottaa tunnistetietojen keräämistä harhaanjohtavien käyttöliittymien kautta.
Uhrien muuttaminen sijaisinfrastruktuuriksi
Miraxin määrittelevä ominaisuus on sen kyky muuntaa tartunnan saaneet laitteet kotitalouksien välityspalvelimeksi. Yhdistämällä SOCKS5-protokollan tuen Yamux-multipleksoinnin rinnalle haittaohjelma muodostaa pysyviä välityspalvelimen kanavia, jotka reitittävät hyökkääjän liikenteen laillisten käyttäjien IP-osoitteiden kautta. Tämän toiminnon avulla hyökkääjät voivat ohittaa geolokaatiorajoitukset, kiertää petosten havaitsemismekanismeja ja suorittaa haitallisia toimia, kuten tilien kaappauksia, parannetulla anonymiteetillä ja uskottavuudella.
Haittaohjelmat palveluna yksinoikeudella käyttöoikeudella
Miraxia markkinoidaan haittaohjelmia palveluna (MaaS) nimellä 'Mirax Bot'. Täysimittaisen version käyttöoikeus maksaa 2 500 dollaria kolmen kuukauden tilauksella. Samaan aikaan saatavilla on alennettu versio hintaan 1 750 dollaria kuukaudessa, josta puuttuvat ominaisuudet, kuten välityspalvelintoiminto ja Google Play Protectin ohitusominaisuudet. Toisin kuin tyypillisillä MaaS-alustoilla, jakelua valvotaan tiukasti ja se on rajoitettu rajoitetulle joukolle yhteistyökumppaneita, jotka ovat pääasiassa venäjänkielisiä toimijoita, joilla on vakiintunut maine maanalaisilla foorumeilla. Tämä yksinoikeus viittaa tietoiseen keskittymiseen toiminnan turvallisuuteen ja kampanjoiden jatkuvaan tehokkuuteen.
Sosiaalinen manipulointi haitallisen mainonnan avulla
Tartuntaketju nojaa vahvasti Meta-alustoilla pyöriviin harhaanjohtaviin mainoskampanjoihin. Nämä mainokset mainostavat vilpillisiä suoratoistopalveluita, jotka tarjoavat ilmaisen pääsyn live-urheiluun ja elokuviin ja houkuttelevat käyttäjiä lataamaan haitallisia sovelluksia. Useita mainoksia on tunnistettu, ja ne keskittyvät voimakkaasti Espanjassa asuviin käyttäjiin. Pelkästään yksi 6. huhtikuuta 2026 käynnistetty kampanja tavoitti lähes 191 000 käyttäjää, mikä osoittaa tämän jakelustrategian laajuuden ja tehokkuuden.
Hienostuneet toimitus- ja väistötekniikat
Mirax käyttää monivaiheista tartuntaprosessia, joka on suunniteltu välttämään havaitsemista ja analysointia. Dropper-sovellukset jaetaan verkkosivujen kautta, jotka valvovat tiukkoja käyttöoikeustarkistuksia varmistaen, että vain mobiilikäyttäjät voivat jatkaa, ja estämällä samalla automaattiset tietoturvatarkistukset. Haitalliset APK-tiedostot sijaitsevat GitHubissa, mikä sulautuu entisestään lailliseen infrastruktuuriin.
Kun dripperi on suoritettu, se kehottaa käyttäjiä sallimaan asennuksen tuntemattomista lähteistä, mikä käynnistää monimutkaisen hyötykuormien purkamisen prosessin, joka on suunniteltu ohittamaan hiekkalaatikko- ja tietoturvatyökalut. Haittaohjelma naamioi itsensä sitten videoiden toistosovellukseksi ja pyytää esteettömyyspalvelun käyttöoikeuksia, mikä antaa sille laajan hallinnan laitteen toimintoihin samalla kun se toimii hiljaa taustalla. Käyttäjiä harhautetaan näyttämällä tekaistu asennuksen epäonnistumisilmoitus, kun taas haitalliset peittokuvat peittävät meneillään olevan toiminnan.
Kampanjassa on käytetty useita harhaanjohtavia sovellusidentiteettejä:
StreamTV (org.lgvvfj.pluscqpuj tai org.dawme.secure5ny) – toimii pudottimena
Videon toistolaite (org.yjeiwd.plusdc71 tai org.azgaw.managergst1d) – Mirax-hyötykuorman toimittaminen
Komento- ja ohjausarkkitehtuuri ja viestintäkanavat
Mirax muodostaa useita kaksisuuntaisia viestintäkanavia C2-palvelimiensa kanssa, mikä mahdollistaa tehokkaan tehtävien suorittamisen ja tiedonsiirron. Erilaisia WebSocket-yhteyksiä käytetään erilaisiin operatiivisiin tarkoituksiin:
- Portti 8443 käsittelee etäkäytön hallintaa ja komentojen suorittamista.
- Portti 8444 tukee etäsuoratoistoa ja tiedonsiirtoa.
- Portti 8445 (tai mukautetut portit) mahdollistaa SOCKS5-pohjaiset asuinvälityspalvelintoiminnot.
Tämä segmentoitu arkkitehtuuri parantaa luotettavuutta ja toiminnan joustavuutta samalla kun se vaikeuttaa havaitsemistoimia.
Uusi vaihe kyberrikollisuudessa
RAT- ja kotitalouksien välityspalvelinominaisuuksien integrointi viestii merkittävästä kehityksestä mobiiliuhkien suunnittelussa. Historiallisesti välityspalvelinbottiverkot yhdistettiin vaarantuneisiin IoT-laitteisiin tai edullisiin Android-laitteistoihin, kuten älytelevisioihin. Mirax edustaa siirtymistä kohti näiden ominaisuuksien upottamista täysimittaisiin pankkitroijalaisiin, mikä lisää dramaattisesti sekä kunkin tartunnan arvoa että hyökkääjien toiminnan monipuolisuutta.
Yhdistämällä talouspetosmekanismeja välityspalvelininfrastruktuuriin Mirax mahdollistaa uhkatoimijoille samanaikaisesti uhrien suoran hyväksikäytön ja heidän laitteidensa hyödyntämisen laajemmissa kyberrikollisuudessa.
