Mirax चूहा

हाल ही में पहचाना गया एंड्रॉइड रिमोट एक्सेस ट्रोजन, मिराक्स, बड़े पैमाने पर सोशल मीडिया अभियानों के माध्यम से स्पेनिश भाषी क्षेत्रों को सक्रिय रूप से निशाना बना रहा है। हमलावरों ने फेसबुक, इंस्टाग्राम, मैसेंजर और थ्रेड्स जैसे प्लेटफार्मों पर विज्ञापनों का इस्तेमाल करते हुए 220,000 से अधिक खातों तक पहुंच बनाई है। यह व्यापक प्रसार मैलवेयर के वितरण के लिए विश्वसनीय विज्ञापन प्रणालियों का फायदा उठाने के एक सुनियोजित प्रयास को उजागर करता है।

उन्नत रिमोट कंट्रोल क्षमताएं

Mirax एक अत्यंत सक्षम रिमोट एक्सेस ट्रोजन (RAT) के रूप में कार्य करता है, जो हमलावरों को प्रभावित उपकरणों पर पूर्ण, वास्तविक समय नियंत्रण प्रदान करता है। इसकी कार्यक्षमता मानक RAT कार्यों से कहीं आगे तक फैली हुई है, जिससे संक्रमित प्रणालियों की सूक्ष्म स्तर पर निगरानी और उनसे संपर्क करना संभव हो जाता है। इसकी क्षमताओं में कीस्ट्रोक लॉगिंग, फोटो एक्सफ़िल्ट्रेशन, लॉक स्क्रीन डेटा संग्रह, कमांड निष्पादन, इंटरफ़ेस नेविगेशन और उपयोगकर्ता गतिविधि की निरंतर निगरानी शामिल हैं।

इसके अतिरिक्त, मैलवेयर अपने कमांड-एंड-कंट्रोल (सी2) इन्फ्रास्ट्रक्चर से डायनामिक एचटीएमएल ओवरले को पुनः प्राप्त और प्रदर्शित कर सकता है, जिससे भ्रामक इंटरफेस के माध्यम से क्रेडेंशियल की चोरी करना आसान हो जाता है।

पीड़ितों को प्रॉक्सी इंफ्रास्ट्रक्चर में बदलना

मिराक्स की एक प्रमुख विशेषता संक्रमित उपकरणों को आवासीय प्रॉक्सी नोड्स में परिवर्तित करने की इसकी क्षमता है। SOCKS5 प्रोटोकॉल और Yamux मल्टीप्लेक्सिंग को शामिल करके, यह मैलवेयर स्थायी प्रॉक्सी चैनल स्थापित करता है जो हमलावर ट्रैफ़िक को वैध उपयोगकर्ता IP पतों के माध्यम से रूट करता है। यह कार्यक्षमता हमलावरों को भौगोलिक स्थान संबंधी प्रतिबंधों को दरकिनार करने, धोखाधड़ी का पता लगाने वाले तंत्रों से बचने और बढ़ी हुई गुमनामी और विश्वसनीयता के साथ खाता अधिग्रहण जैसी दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सक्षम बनाती है।

एक्सक्लूसिव एक्सेस के साथ मैलवेयर-एज़-ए-सर्विस

Mirax को 'Mirax Bot' नाम से मैलवेयर-एज़-अ-सर्विस (MaaS) के रूप में बेचा जाता है। इसके पूर्ण-सुविधा वाले संस्करण की तीन महीने की सदस्यता की कीमत $2,500 है। वहीं, इसका एक कम सुविधाओं वाला संस्करण $1,750 प्रति माह पर उपलब्ध है, जिसमें प्रॉक्सी कार्यक्षमता और Google Play Protect को बायपास करने जैसी सुविधाएं नहीं हैं। आम MaaS प्लेटफॉर्म के विपरीत, इसका वितरण कड़ाई से नियंत्रित है और सीमित समूह के सहयोगियों तक ही सीमित है, जिनमें मुख्य रूप से रूसी भाषी लोग शामिल हैं जिनकी अंडरग्राउंड फोरम में अच्छी प्रतिष्ठा है। यह विशिष्टता परिचालन सुरक्षा और निरंतर अभियान प्रभावशीलता पर जानबूझकर ध्यान केंद्रित करने का संकेत देती है।

दुर्भावनापूर्ण विज्ञापन के माध्यम से सामाजिक इंजीनियरिंग

संक्रमण की यह श्रृंखला मेटा प्लेटफॉर्म पर प्रसारित भ्रामक विज्ञापन अभियानों पर बहुत अधिक निर्भर करती है। ये विज्ञापन फर्जी स्ट्रीमिंग सेवाओं का प्रचार करते हैं, जो लाइव खेल और फिल्मों तक मुफ्त पहुंच प्रदान करते हैं और उपयोगकर्ताओं को दुर्भावनापूर्ण एप्लिकेशन डाउनलोड करने के लिए लुभाते हैं। कई विज्ञापनों की पहचान की गई है, जिनमें स्पेन के उपयोगकर्ताओं को विशेष रूप से लक्षित किया गया है। अकेले एक अभियान, जो 6 अप्रैल, 2026 को शुरू किया गया था, लगभग 191,000 उपयोगकर्ताओं तक पहुंचा, जो इस वितरण रणनीति के पैमाने और प्रभावशीलता को दर्शाता है।

परिष्कृत वितरण और बचाव तकनीकें

Mirax एक बहु-स्तरीय संक्रमण प्रक्रिया का उपयोग करता है जिसे पहचान और विश्लेषण से बचने के लिए डिज़ाइन किया गया है। ड्रॉपर एप्लिकेशन उन वेब पेजों के माध्यम से वितरित किए जाते हैं जो सख्त एक्सेस जांच लागू करते हैं, यह सुनिश्चित करते हुए कि केवल मोबाइल उपयोगकर्ता ही आगे बढ़ सकें और स्वचालित सुरक्षा स्कैन को अवरुद्ध कर दें। दुर्भावनापूर्ण APK फ़ाइलें GitHub पर होस्ट की जाती हैं, जिससे वे वैध बुनियादी ढांचे में और भी घुलमिल जाती हैं।

एक बार चलने के बाद, ड्रॉपर उपयोगकर्ताओं को अज्ञात स्रोतों से इंस्टॉलेशन सक्षम करने के लिए कहता है, जिससे एक जटिल पेलोड निष्कर्षण प्रक्रिया शुरू हो जाती है जो सैंडबॉक्सिंग और सुरक्षा उपकरणों को बायपास करने के लिए डिज़ाइन की गई है। इसके बाद मैलवेयर खुद को एक वीडियो प्लेबैक एप्लिकेशन के रूप में छुपा लेता है और एक्सेसिबिलिटी सेवा अनुमतियाँ मांगता है, जिससे इसे पृष्ठभूमि में चुपचाप चलते हुए डिवाइस संचालन पर व्यापक नियंत्रण मिल जाता है। उपयोगकर्ताओं को गुमराह करने के लिए एक नकली इंस्टॉलेशन विफलता संदेश प्रदर्शित किया जाता है, जबकि दुर्भावनापूर्ण ओवरले चल रही गतिविधि को छिपाते हैं।

इस अभियान में कई भ्रामक एप्लिकेशन पहचानों का उपयोग किया गया है:

StreamTV (org.lgvvfj.pluscqpuj या org.dawme.secure5ny) – ड्रॉपर के रूप में कार्य करता है

वीडियो प्रदाता (org.yjeiwd.plusdc71 या org.azgaw.managergst1d) – मिराक्स पेलोड वितरित करना

कमांड-एंड-कंट्रोल आर्किटेक्चर और संचार चैनल

Mirax अपने C2 सर्वरों के साथ कई द्विदिशात्मक संचार चैनल स्थापित करता है, जिससे कार्यों का कुशल निष्पादन और डेटा का हस्तांतरण संभव होता है। विभिन्न परिचालन उद्देश्यों के लिए अलग-अलग WebSocket कनेक्शनों का उपयोग किया जाता है:

• पोर्ट 8443 रिमोट एक्सेस प्रबंधन और कमांड निष्पादन को संभालता है।
• पोर्ट 8444 रिमोट स्ट्रीमिंग और डेटा एक्सफ़िल्ट्रेशन को सपोर्ट करता है।
• पोर्ट 8445 (या कस्टम पोर्ट) SOCKS5-आधारित आवासीय प्रॉक्सी संचालन को सुगम बनाता है।

यह खंडित संरचना विश्वसनीयता और परिचालन लचीलेपन को बढ़ाती है, जबकि साथ ही साथ पता लगाने के प्रयासों को जटिल बनाती है।

साइबर अपराध गतिविधियों में एक नया चरण

RAT और आवासीय प्रॉक्सी क्षमताओं का एकीकरण मोबाइल खतरे के डिज़ाइन में एक महत्वपूर्ण विकास का संकेत देता है। ऐतिहासिक रूप से, प्रॉक्सी बॉटनेट्स समझौता किए गए IoT उपकरणों या स्मार्ट टीवी जैसे कम लागत वाले एंड्रॉइड हार्डवेयर से जुड़े थे। मिराक्स पूर्ण विशेषताओं वाले बैंकिंग ट्रोजन में इन क्षमताओं को एम्बेड करने की दिशा में एक बदलाव का प्रतिनिधित्व करता है, जिससे प्रत्येक संक्रमण का मूल्य और हमलावर संचालन की बहुमुखी प्रतिभा दोनों में नाटकीय रूप से वृद्धि होती है।

वित्तीय धोखाधड़ी तंत्र को प्रॉक्सी इन्फ्रास्ट्रक्चर के साथ मिलाकर, मिराक्स खतरे पैदा करने वाले तत्वों को पीड़ितों का सीधे तौर पर शोषण करने और व्यापक साइबर आपराधिक पारिस्थितिकी तंत्र में उनके उपकरणों को संपत्ति के रूप में उपयोग करने में सक्षम बनाता है।