Mirax RAT
טרויאן גישה מרחוק חדש שזוהה באנדרואיד, Mirax, מכוון באופן פעיל לאזורים דוברי ספרדית באמצעות קמפיינים רחבי היקף במדיה חברתית. גורמי איום מינפו פרסומות בפלטפורמות כמו פייסבוק, אינסטגרם, מסנג'ר ו-Threads, והגיעו ליותר מ-220,000 חשבונות. חשיפה נרחבת זו מדגישה מאמץ מחושב לנצל מערכות אקולוגיות פרסום מהימנות להפצת תוכנות זדוניות.
תוכן העניינים
יכולות שליטה מרחוק מתקדמות
Mirax פועל כטרויאני גישה מרחוק (RAT) בעל יכולות גבוהות, המעניק לתוקפים שליטה מלאה בזמן אמת על מכשירים שנפרצו. הפונקציונליות שלו חורגת מפעולות RAT סטנדרטיות, ומאפשרת מעקב ואינטראקציה עם מערכות נגועות ברמה מפורטת. היכולות כוללות רישום הקשות מקשים, חילוץ תמונות, איסוף נתוני מסך נעילה, ביצוע פקודות, ניווט בממשק וניטור רציף של פעילות המשתמש.
בנוסף, הנוזקה יכולה לאחזר ולהציג שכבות HTML דינמיות מתשתית הפיקוד והבקרה (C2) שלה, ובכך להקל על קצירת אישורים דרך ממשקים מטעים.
הפיכת קורבנות לתשתית פרוקסי
מאפיין בולט של Mirax הוא יכולתה להמיר מכשירים נגועים לצמתי פרוקסי ביתיים. על ידי שילוב תמיכה בפרוטוקול SOCKS5 לצד ריבוב Yamux, הנוזקה יוצרת ערוצי פרוקסי מתמשכים המנתבים תעבורת תוקפים דרך כתובות IP לגיטימיות של משתמשים. פונקציונליות זו מאפשרת ליריבים לעקוף מגבלות מיקום גיאוגרפי, להתחמק ממנגנוני גילוי הונאות ולבצע פעילויות זדוניות כגון השתלטות על חשבונות עם אנונימיות ואמינות משופרות.
תוכנה זדונית כשירות עם גישה בלעדית
Mirax משווקת כשירות של תוכנות זדוניות (MaaS) תחת השם 'Mirax Bot'. הגישה לגרסה המלאה עולה 2,500 דולר למנוי לשלושה חודשים. במקביל, גרסה מוזלת זמינה תמורת 1,750 דולר לחודש, חסרה תכונות כמו פונקציונליות פרוקסי ויכולות עקיפה של Google Play Protect. בניגוד לפלטפורמות MaaS טיפוסיות, ההפצה מבוקרת בקפדנות ומוגבלת לקבוצה מוגבלת של שותפים, בעיקר שחקנים דוברי רוסית בעלי מוניטין מבוסס בפורומים מחתרתיים. בלעדיות זו מרמזת על התמקדות מכוונת באבטחה תפעולית ויעילות מתמשכת של קמפיינים.
הנדסה חברתית באמצעות פרסום זדוני
שרשרת ההדבקה מסתמכת במידה רבה על קמפיינים פרסומיים מטעים הממוקמים בפלטפורמות Meta. פרסומות אלו מקדמות שירותי סטרימינג הונאה המציעים גישה חופשית לספורט וסרטים חיים, ומפתים משתמשים להוריד אפליקציות זדוניות. זוהו מספר פרסומות, עם דגש חזק על משתמשים בספרד. קמפיין אחד לבדו, שהושק ב-6 באפריל 2026, הגיע לכמעט 191,000 משתמשים, מה שמדגים את היקף ויעילות אסטרטגיית ההפצה הזו.
טכניקות מסירה והתחמקות מתוחכמות
Mirax משתמשת בתהליך הדבקה רב-שלבי שנועד להתחמק מגילוי וניתוח. יישומי Dropper מופצים דרך דפי אינטרנט האוכפים בדיקות גישה קפדניות, ומבטיחים שרק משתמשים ניידים יוכלו להמשיך תוך חסימת סריקות אבטחה אוטומטיות. קבצי ה-APK הזדוניים מאוחסנים ב-GitHub, ומשתלבים עוד יותר בתשתית לגיטימית.
לאחר ההפעלה, ה-dropper מבקש מהמשתמשים לאפשר התקנה ממקורות לא ידועים, ומפעיל תהליך מורכב של חילוץ מטען שתוכנן לעקוף כלי ארגז חול וכלי אבטחה. לאחר מכן, התוכנה הזדונית מתחזה לאפליקציית הפעלת וידאו ומבקשת הרשאות שירות נגישות, ומעניקה לה שליטה נרחבת על פעולות המכשיר תוך כדי פעולה שקטה ברקע. מוצגת הודעת כשל התקנה מזויפת כדי להטעות את המשתמשים, בעוד שכבות-על זדוניות מסתירות פעילות מתמשכת.
הקמפיין השתמש במספר זהויות אפליקציות מטעות:
StreamTV (org.lgvvfj.pluscqpuj או org.dawme.secure5ny) – מתפקד כמעביר טפטוף
מפיק וידאו (org.yjeiwd.plusdc71 או org.azgaw.managergst1d) – אספקת מטען Mirax
ארכיטקטורת פיקוד ובקרה וערוצי תקשורת
Mirax מקימה ערוצי תקשורת דו כיווניים מרובים עם שרתי ה-C2 שלה, מה שמאפשר ביצוע משימות יעיל וחילוץ נתונים. חיבורי WebSocket נפרדים משמשים למטרות תפעוליות שונות:
- פורט 8443 מטפל בניהול גישה מרחוק ובביצוע פקודות.
- פורט 8444 תומך בסטרימינג מרחוק ובחילוץ נתונים.
- פורט 8445 (או פורטים מותאמים אישית) מאפשר פעולות פרוקסי ביתיות מבוססות SOCKS5.
ארכיטקטורה מפולחת זו משפרת את האמינות והגמישות התפעולית תוך סיבוך מאמצי הגילוי.
שלב חדש בפעילות פושעי סייבר
שילוב יכולות RAT ויכולות פרוקסי למגורים מאותת על התפתחות משמעותית בתכנון איומים ניידים. מבחינה היסטורית, בוטנטים של פרוקסי היו קשורים למכשירי IoT שנפרצו או לחומרת אנדרואיד זולה כמו טלוויזיות חכמות. Mirax מייצג שינוי לעבר הטמעת יכולות אלו בתוך טרויאנים בנקאיים מלאים, מה שמגדיל באופן דרמטי הן את הערך של כל הדבקה והן את הרבגוניות של פעולות התוקף.
על ידי שילוב מנגנוני הונאה פיננסית עם תשתית פרוקסי, Mirax מאפשרת לגורמי איום לנצל בו זמנית את הקורבנות ישירות ולמנף את המכשירים שלהם כנכסים במערכות אקולוגיות רחבות יותר של פושעי סייבר.
