Mirax RAT
Novootkriveni trojanac za udaljeni pristup Androidu, Mirax, aktivno cilja regije španjolskog govornog područja putem velikih kampanja na društvenim mrežama. Akteri prijetnji iskoristili su oglase na platformama kao što su Facebook, Instagram, Messenger i Threads, dosegnuvši preko 220 000 računa. Ova široko rasprostranjena izloženost naglašava proračunati napor iskorištavanja pouzdanih oglašivačkih ekosustava za distribuciju zlonamjernog softvera.
Sadržaj
Napredne mogućnosti daljinskog upravljanja
Mirax djeluje kao vrlo sposoban trojanac za udaljeni pristup (RAT), dajući napadačima potpunu kontrolu u stvarnom vremenu nad kompromitiranim uređajima. Njegova funkcionalnost nadilazi standardne RAT operacije, omogućujući nadzor i interakciju sa zaraženim sustavima na granularnoj razini. Mogućnosti uključuju bilježenje pritiska tipki, krađu fotografija, prikupljanje podataka zaključanog zaslona, izvršavanje naredbi, navigaciju sučeljem i kontinuirano praćenje aktivnosti korisnika.
Osim toga, zlonamjerni softver može dohvaćati i prikazivati dinamičke HTML slojeve iz svoje Command-and-Control (C2) infrastrukture, olakšavajući prikupljanje vjerodajnica putem obmanjujućih sučelja.
Pretvaranje žrtava u posredničku infrastrukturu
Karakteristična karakteristika Miraxa je njegova sposobnost pretvaranja zaraženih uređaja u stambene proxy čvorove. Ugradnjom podrške za SOCKS5 protokol uz Yamux multipleksiranje, zlonamjerni softver uspostavlja trajne proxy kanale koji usmjeravaju promet napadača putem legitimnih korisničkih IP adresa. Ova funkcionalnost omogućuje protivnicima da zaobiđu ograničenja geolokacije, izbjegnu mehanizme za otkrivanje prijevara i provode zlonamjerne aktivnosti poput preuzimanja računa uz poboljšanu anonimnost i kredibilitet.
Zlonamjerni softver kao usluga s ekskluzivnim pristupom
Mirax se prodaje kao usluga zlonamjernog softvera kao usluge (MaaS) pod nazivom 'Mirax Bot'. Pristup verziji s punom značajkom košta 2500 USD za tromjesečnu pretplatu. Istovremeno, dostupna je i smanjena varijanta za 1750 USD mjesečno, bez značajki poput proxy funkcionalnosti i mogućnosti zaobilaženja Google Play Protecta. Za razliku od tipičnih MaaS platformi, distribucija je strogo kontrolirana i ograničena na ograničenu skupinu suradnika, prvenstveno aktera koji govore ruski i imaju uspostavljenu reputaciju na podzemnim forumima. Ova ekskluzivnost sugerira namjeran fokus na operativnu sigurnost i održivu učinkovitost kampanje.
Društveni inženjering putem zlonamjernog oglašavanja
Lanac zaraze uvelike se oslanja na obmanjujuće reklamne kampanje smještene na Meta platformama. Ovi oglasi promoviraju lažne streaming usluge koje nude besplatan pristup sportskim prijenosima i filmovima uživo, potičući korisnike na preuzimanje zlonamjernih aplikacija. Identificirano je više oglasa, s jakim fokusom na korisnike u Španjolskoj. Samo jedna kampanja, pokrenuta 6. travnja 2026., dosegnula je gotovo 191 000 korisnika, pokazujući opseg i učinkovitost ove distribucijske strategije.
Sofisticirane tehnike dostave i izbjegavanja
Mirax koristi višestupanjski proces zaraze osmišljen kako bi izbjegao otkrivanje i analizu. Dropper aplikacije distribuiraju se putem web stranica koje provode stroge provjere pristupa, osiguravajući da samo mobilni korisnici mogu nastaviti, a istovremeno blokiraju automatizirane sigurnosne skeniranja. Zlonamjerne APK datoteke nalaze se na GitHubu, dodatno se stapajući s legitimnom infrastrukturom.
Nakon izvršenja, dropper potiče korisnike da omoguće instalaciju iz nepoznatih izvora, pokrećući složeni proces ekstrakcije sadržaja osmišljen kako bi zaobišao sandbox i sigurnosne alate. Zlonamjerni softver se zatim maskira u aplikaciju za reprodukciju videa i traži dopuštenja za uslugu pristupačnosti, što mu daje opsežnu kontrolu nad radom uređaja dok tiho radi u pozadini. Prikazuje se lažna poruka o neuspjehu instalacije kako bi se korisnici zavarali, dok zlonamjerni slojevi prikrivaju tekuću aktivnost.
Kampanja je koristila nekoliko lažnih identiteta aplikacija:
StreamTV (org.lgvvfj.pluscqpuj ili org.dawme.secure5ny) – funkcionira kao dropper
Videoreproduktor (org.yjeiwd.plusdc71 ili org.azgaw.managergst1d) – isporuka Mirax korisnog tereta
Arhitektura zapovijedanja i upravljanja i komunikacijski kanali
Mirax uspostavlja više dvosmjernih komunikacijskih kanala sa svojim C2 serverima, omogućujući učinkovito izvršavanje zadataka i eksfiltraciju podataka. Različite WebSocket veze koriste se za različite operativne svrhe:
- Port 8443 upravlja udaljenim pristupom i izvršavanjem naredbi.
- Port 8444 podržava udaljeno strujanje i eksfiltraciju podataka.
- Port 8445 (ili prilagođeni portovi) omogućuje SOCKS5-bazirane rezidencijalne proxy operacije.
Ova segmentirana arhitektura povećava pouzdanost i operativnu fleksibilnost, a istovremeno komplicira napore detekcije.
Nova faza u kibernetičkim kriminalnim operacijama
Integracija RAT-a i mogućnosti rezidencijalnih proxyja signalizira značajnu evoluciju u dizajnu mobilnih prijetnji. Povijesno gledano, proxy botneti bili su povezani s kompromitiranim IoT uređajima ili jeftinim Android hardverom poput pametnih televizora. Mirax predstavlja pomak prema ugradnji tih mogućnosti unutar potpuno opremljenih bankarskih trojanaca, dramatično povećavajući i vrijednost svake infekcije i svestranost napadačkih operacija.
Kombiniranjem mehanizama financijskih prijevara s proxy infrastrukturom, Mirax omogućuje prijetnjama da istovremeno izravno iskorištavaju žrtve i koriste njihove uređaje kao imovinu u širim kibernetičkim kriminalnim ekosustavima.
