Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program Mirax RAT

Mirax RAT

Mezo -ra Mobil rosszindulatú program, Távoli adminisztrációs eszközök-ben
Fordítás ide:

Egy újonnan azonosított, Android távoli hozzáférést biztosító trójai vírus, a Mirax nagyszabású közösségi média kampányokon keresztül aktívan célozza meg a spanyol ajkú régiókat. A kiberfenyegető szereplők olyan platformokon, mint a Facebook, az Instagram, a Messenger és a Threads, hirdetéseket jelenítenek meg, több mint 220 000 fiókot elérve. Ez a széles körű leleplezés rávilágít arra a tudatos erőfeszítésre, hogy megbízható hirdetési ökoszisztémákat használjanak ki rosszindulatú programok terjesztésére.

Fejlett távirányító képességek

A Mirax egy rendkívül hatékony távoli hozzáférésű trójai (RAT) vírusként működik, amely teljes, valós idejű irányítást biztosít a támadóknak a feltört eszközök felett. Funkcionalitása túlmutat a szokásos RAT-műveleteken, lehetővé téve a fertőzött rendszerek megfigyelését és az azokkal való interakciót részletes szinten. A képességek közé tartozik a billentyűleütések naplózása, a fényképek ellopása, a zárolási képernyő adatainak gyűjtése, a parancsok végrehajtása, a felületen való navigáció és a felhasználói tevékenység folyamatos monitorozása.

Ezenkívül a rosszindulatú program képes dinamikus HTML-átfedéseket lekérni és megjeleníteni a Command-and-Control (C2) infrastruktúrájából, megkönnyítve a hitelesítő adatok gyűjtését megtévesztő felületeken keresztül.

Az áldozatok helyettesítő infrastruktúrává alakítása

A Mirax meghatározó jellemzője, hogy képes a fertőzött eszközöket lakossági proxy csomópontokká alakítani. A SOCKS5 protokoll támogatásának és a Yamux multiplexelésnek a beépítésével a rosszindulatú program állandó proxy csatornákat hoz létre, amelyek a támadó forgalmát legitim felhasználói IP-címeken keresztül irányítják. Ez a funkció lehetővé teszi a támadók számára, hogy megkerüljék a geolokációs korlátozásokat, kikerüljék a csalásészlelési mechanizmusokat, és rosszindulatú tevékenységeket, például fiókfelvásárlásokat hajtsanak végre fokozott anonimitással és hitelességgel.

Kártevő szolgáltatásként kizárólagos hozzáféréssel

A Miraxot „MaaS” (Masware-as-a-Service) ajánlatként forgalmazzák „Mirax Bot” néven. A teljes funkcionalitású verzióhoz való hozzáférés ára 2500 dollár három hónapos előfizetésért. Ugyanakkor egy csökkentett árú változat is elérhető havi 1750 dollárért, amelyből hiányoznak olyan funkciók, mint a proxy funkció és a Google Play Protect megkerülési képességei. A tipikus MaaS platformokkal ellentétben a terjesztés szigorúan ellenőrzött, és egy korlátozott számú partnerre korlátozódik, elsősorban oroszul beszélő szereplőkre, akik elismert hírnévnek örvendenek a földalatti fórumokon. Ez az exkluzivitás a működési biztonságra és a fenntartható kampányhatékonyságra való tudatos összpontosításra utal.

Szociális manipuláció rosszindulatú hirdetéseken keresztül

A fertőzési lánc nagymértékben támaszkodik a Meta platformokon futó megtévesztő hirdetési kampányokra. Ezek a hirdetések csalárd streaming szolgáltatásokat népszerűsítenek, amelyek ingyenes hozzáférést kínálnak élő sporteseményekhez és filmekhez, és rosszindulatú alkalmazások letöltésére csábítják a felhasználókat. Több hirdetést is azonosítottak, amelyek erősen a spanyolországi felhasználókra összpontosítanak. Egyetlen kampány, amelyet 2026. április 6-án indítottak, közel 191 000 felhasználót ért el, ami jól mutatja ennek a terjesztési stratégiának a mértékét és hatékonyságát.

Kifinomult kézbesítési és kibúvó technikák

A Mirax egy többlépcsős fertőzési folyamatot alkalmaz, amelynek célja az észlelés és az elemzés elkerülése. A dropper alkalmazások weboldalakon keresztül kerülnek terjesztésre, amelyek szigorú hozzáférés-ellenőrzéseket hajtanak végre, biztosítva, hogy csak a mobilfelhasználók folytathassák a folyamatot, miközben blokkolják az automatikus biztonsági vizsgálatokat. A rosszindulatú APK fájlok a GitHubon találhatók, ami továbbintegrálódik a legitim infrastruktúrába.

A futtatás után a dropper arra kéri a felhasználókat, hogy engedélyezzék az ismeretlen forrásokból történő telepítést, elindítva egy összetett adat-kitermelési folyamatot, amelyet úgy terveztek, hogy megkerülje a sandboxing és a biztonsági eszközöket. A rosszindulatú program ezután videolejátszó alkalmazásnak álcázza magát, és akadálymentesítési szolgáltatási engedélyeket kér, amelyek széles körű ellenőrzést biztosítanak az eszköz működése felett, miközben csendben fut a háttérben. Egy hamis telepítési hibaüzenet jelenik meg a felhasználók félrevezetése érdekében, miközben a rosszindulatú átfedések elrejtik a folyamatban lévő tevékenységet.

A kampány számos megtévesztő alkalmazás-identitást használt:

StreamTV (org.lgvvfj.pluscqpuj vagy org.dawme.secure5ny) – dropperként működik

Videólejátszó (org.yjeiwd.plusdc71 vagy org.azgaw.managergst1d) – a Mirax hasznos adatának kézbesítése

Parancsnoki és irányítási architektúra és kommunikációs csatornák

A Mirax több kétirányú kommunikációs csatornát hoz létre C2 szervereivel, lehetővé téve a hatékony feladatvégrehajtást és az adatok kiszivárgását. A különböző WebSocket kapcsolatokat különböző működési célokra használják:

  • A 8443-as port kezeli a távoli hozzáférés-kezelést és a parancsok végrehajtását.
  • A 8444-es port támogatja a távoli adatfolyamot és az adatkiszivárgást.
  • A 8445-ös port (vagy egyéni portok) a SOCKS5-alapú lakossági proxy műveleteket teszi lehetővé.

Ez a szegmentált architektúra növeli a megbízhatóságot és a működési rugalmasságot, miközben bonyolítja az észlelési erőfeszítéseket.

Új szakasz a kiberbűnözésben

A RAT és a lakossági proxy képességek integrációja jelentős fejlődést jelez a mobil fenyegetések tervezésében. Történelmileg a proxy botnetek feltört IoT-eszközökkel vagy olcsó Android hardverekkel, például okostévékkel voltak összefüggésben. A Mirax egy elmozdulást jelent ezen képességek teljes funkcionalitású banki trójai programokba való beágyazása felé, drámaian növelve mind az egyes fertőzések értékét, mind a támadó műveletek sokoldalúságát.

A pénzügyi csalási mechanizmusok és a proxy infrastruktúra kombinálásával a Mirax lehetővé teszi a kiberfenyegetők számára, hogy egyszerre közvetlenül kihasználják az áldozatokat, és eszközeiket a szélesebb körű kiberbűnözői ökoszisztémákban is hasznosítsák.


Felkapott

Webalkalmazás-biztonsági e-mailes átverés

Adathalászat, Spam
A mai fenyegetési környezetben az e-mail továbbra is az egyik leggyakoribb belépési pont a kibertámadások számára. A felhasználóknak ébernek kell lenniük a váratlan üzenetek, különösen az azonnali cselekvésre felszólító üzenetek kezelésekor. Ezek közül az e-mailek közül sok gondosan kidolgozott átverés, és fontos megérteni, hogy nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

E-mail fiók letiltása kérése e-mailes átverés

Adathalászat, Spam
A mai fenyegetettségi környezetben kritikus fontosságú a váratlan e-mailekre való odafigyelés. A kiberbűnözők a sürgősségre, a félelemre és az utánzásra támaszkodnak, hogy rávegyék a felhasználókat gyors döntések meghozatalára. Az úgynevezett „E-mail fiók letiltási kérése” átverés egyértelmű példa arra, hogy a támadók milyen könnyen utánozhatják a legitim kommunikációt. Ezek az e-mailek nem...

Legnézettebb

Betöltés...