Topo Mirax
Un nuovo trojan per l'accesso remoto ad Android, denominato Mirax, sta prendendo di mira attivamente le regioni di lingua spagnola attraverso campagne sui social media su larga scala. Gli autori della minaccia hanno sfruttato la pubblicità su piattaforme come Facebook, Instagram, Messenger e Threads, raggiungendo oltre 220.000 account. Questa ampia diffusione evidenzia uno sforzo calcolato per sfruttare ecosistemi pubblicitari affidabili a fini di distribuzione di malware.
Sommario
Funzionalità avanzate di controllo remoto
Mirax opera come un Trojan di accesso remoto (RAT) altamente performante, garantendo agli aggressori il pieno controllo in tempo reale dei dispositivi compromessi. Le sue funzionalità vanno oltre le normali operazioni di un RAT, consentendo la sorveglianza e l'interazione con i sistemi infetti a un livello granulare. Tra le sue capacità figurano la registrazione della digitazione, l'esfiltrazione di foto, la raccolta di dati dalla schermata di blocco, l'esecuzione di comandi, la navigazione nell'interfaccia e il monitoraggio continuo dell'attività dell'utente.
Inoltre, il malware è in grado di recuperare e visualizzare overlay HTML dinamici dalla sua infrastruttura di comando e controllo (C2), facilitando l'acquisizione di credenziali tramite interfacce ingannevoli.
Trasformare le vittime in infrastrutture proxy
Una caratteristica distintiva di Mirax è la sua capacità di trasformare i dispositivi infetti in nodi proxy residenziali. Integrando il supporto al protocollo SOCKS5 e il multiplexing Yamux, il malware crea canali proxy persistenti che instradano il traffico degli aggressori attraverso indirizzi IP di utenti legittimi. Questa funzionalità consente agli aggressori di aggirare le restrizioni di geolocalizzazione, eludere i meccanismi di rilevamento delle frodi e condurre attività dannose, come il furto di account, con maggiore anonimato e credibilità.
Malware-as-a-Service con accesso esclusivo
Mirax viene commercializzato come servizio di malware (MaaS, Malware-as-a-Service) con il nome di "Mirax Bot". L'accesso alla versione completa ha un costo di 2.500 dollari per un abbonamento trimestrale. È disponibile anche una versione ridotta a 1.750 dollari al mese, priva di funzionalità come il proxy e la possibilità di aggirare Google Play Protect. A differenza delle tipiche piattaforme MaaS, la distribuzione è strettamente controllata e limitata a un gruppo ristretto di affiliati, principalmente attori di lingua russa con una solida reputazione nei forum underground. Questa esclusività suggerisce una precisa attenzione alla sicurezza operativa e all'efficacia costante delle campagne.
Ingegneria sociale tramite pubblicità ingannevole
La catena di infezione si basa in gran parte su campagne pubblicitarie ingannevoli ospitate su piattaforme Meta. Questi annunci promuovono servizi di streaming fraudolenti che offrono accesso gratuito a eventi sportivi e film in diretta, invogliando gli utenti a scaricare applicazioni dannose. Sono stati identificati numerosi annunci, con una forte attenzione agli utenti in Spagna. Una sola campagna, lanciata il 6 aprile 2026, ha raggiunto quasi 191.000 utenti, a dimostrazione della portata e dell'efficacia di questa strategia di distribuzione.
Tecniche sofisticate di consegna ed elusione
Mirax utilizza un processo di infezione a più fasi progettato per eludere il rilevamento e l'analisi. Le applicazioni dropper vengono distribuite tramite pagine web che impongono rigidi controlli di accesso, garantendo che solo gli utenti mobili possano procedere e bloccando le scansioni di sicurezza automatiche. I file APK dannosi sono ospitati su GitHub, mimetizzandosi ulteriormente con le infrastrutture legittime.
Una volta eseguito, il dropper chiede agli utenti di abilitare l'installazione da origini sconosciute, avviando un complesso processo di estrazione del payload progettato per eludere le sandbox e gli strumenti di sicurezza. Il malware si maschera quindi da applicazione di riproduzione video e richiede le autorizzazioni per i servizi di accessibilità, ottenendo un controllo esteso sulle operazioni del dispositivo mentre viene eseguito silenziosamente in background. Viene visualizzato un falso messaggio di errore di installazione per ingannare gli utenti, mentre delle sovrapposizioni dannose nascondono l'attività in corso.
La campagna ha utilizzato diverse identità di applicazioni ingannevoli:
StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – funziona come dropper
Riproduttore di video (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – consegna del payload Mirax
Architettura di comando e controllo e canali di comunicazione
Mirax stabilisce molteplici canali di comunicazione bidirezionali con i suoi server C2, consentendo un'esecuzione efficiente delle attività e l'esfiltrazione dei dati. Per scopi operativi differenti vengono utilizzate connessioni WebSocket distinte:
- La porta 8443 gestisce l'accesso remoto e l'esecuzione dei comandi.
- La porta 8444 supporta lo streaming remoto e l'esfiltrazione dei dati.
- La porta 8445 (o porte personalizzate) facilita le operazioni proxy residenziali basate su SOCKS5.
Questa architettura segmentata migliora l'affidabilità e la flessibilità operativa, ma al contempo complica le operazioni di rilevamento.
Una nuova fase nelle operazioni dei criminali informatici
L'integrazione di RAT (Resident Access Trojan) e funzionalità proxy residenziali segna una significativa evoluzione nella progettazione delle minacce per dispositivi mobili. Storicamente, le botnet proxy erano associate a dispositivi IoT compromessi o ad hardware Android a basso costo come le smart TV. Mirax rappresenta un cambiamento di rotta, con l'integrazione di queste funzionalità all'interno di trojan bancari completi, aumentando drasticamente sia il valore di ogni infezione sia la versatilità delle operazioni degli aggressori.
Combinando meccanismi di frode finanziaria con infrastrutture proxy, Mirax consente ai criminali informatici di sfruttare direttamente le vittime e, allo stesso tempo, di utilizzare i loro dispositivi come risorse all'interno di ecosistemi di criminalità informatica più ampi.
