Mirax RAT

최근 발견된 안드로이드 원격 접속 트로이목마인 Mirax가 대규모 소셜 미디어 캠페인을 통해 스페인어권 지역을 적극적으로 공격하고 있습니다. 공격자들은 페이스북, 인스타그램, 메신저, 스레드 등의 플랫폼에 광고를 게재하여 22만 개 이상의 계정에 접근했습니다. 이러한 광범위한 노출은 신뢰받는 광고 생태계를 악용하여 악성코드를 배포하려는 계획적인 시도를 보여줍니다.

고급 원격 제어 기능

Mirax는 공격자에게 감염된 장치에 대한 완전한 실시간 제어 권한을 부여하는 강력한 원격 접속 트로이목마(RAT)입니다. Mirax는 일반적인 RAT 작동 방식을 넘어 감염된 시스템을 세부적으로 감시하고 상호 작용할 수 있는 기능을 제공합니다. 주요 기능으로는 키 입력 기록, 사진 유출, 잠금 화면 데이터 수집, 명령 실행, 인터페이스 탐색, 사용자 활동 지속적 모니터링 등이 있습니다.

또한, 해당 악성 프로그램은 명령 및 제어(C2) 인프라에서 동적 HTML 오버레이를 검색하고 표시하여 기만적인 인터페이스를 통해 자격 증명을 쉽게 탈취할 수 있습니다.

피해자를 프록시 인프라로 전환하기

Mirax의 가장 큰 특징은 감염된 기기를 주거용 프록시 노드로 변환하는 기능입니다. SOCKS5 프로토콜 지원과 Yamux 멀티플렉싱을 활용하여, 이 악성코드는 공격자의 트래픽을 정상적인 사용자 IP 주소를 통해 라우팅하는 영구적인 프록시 채널을 구축합니다. 이러한 기능을 통해 공격자는 지리적 위치 제한을 우회하고, 사기 탐지 메커니즘을 회피하며, 계정 탈취와 같은 악의적인 활동을 더욱 높은 익명성과 신뢰성을 바탕으로 수행할 수 있습니다.

독점 액세스 권한이 있는 서비스형 악성 소프트웨어(Malware-as-a-Service)

Mirax는 'Mirax Bot'이라는 이름으로 서비스형 악성코드(MaaS) 형태로 판매되고 있습니다. 모든 기능을 갖춘 버전은 3개월 구독에 2,500달러입니다. 기능이 축소된 버전은 월 1,750달러에 제공되며, 프록시 기능이나 Google Play Protect 우회 기능 등이 제외됩니다. 일반적인 MaaS 플랫폼과는 달리, Mirax의 배포는 엄격하게 통제되며 주로 지하 포럼에서 명성을 쌓은 러시아어 사용 해커들을 포함한 소수의 제휴사로 제한됩니다. 이러한 독점적인 배포 방식은 운영 보안과 지속적인 캠페인 효과에 대한 의도적인 집중을 시사합니다.

악성 광고를 통한 사회공학적 접근

이 악성코드 감염 경로는 메타 플랫폼에 게시된 기만적인 광고 캠페인에 크게 의존합니다. 이러한 광고는 라이브 스포츠와 영화를 무료로 시청할 수 있는 것처럼 위장한 사기성 스트리밍 서비스를 홍보하며, 사용자들이 악성 애플리케이션을 다운로드하도록 유도합니다. 특히 스페인 사용자들을 대상으로 한 여러 광고가 확인되었습니다. 2026년 4월 6일에 시작된 한 캠페인만 해도 약 19만 1천 명의 사용자에게 도달하여, 이러한 유포 전략의 규모와 효과를 여실히 보여줍니다.

정교한 전달 및 회피 기술

Mirax는 탐지 및 분석을 회피하도록 설계된 다단계 감염 과정을 사용합니다. 드로퍼 애플리케이션은 엄격한 접근 검사를 시행하는 웹 페이지를 통해 배포되어 모바일 사용자만 접근할 수 있도록 하고 자동 보안 검사를 차단합니다. 악성 APK 파일은 GitHub에 호스팅되어 합법적인 인프라와 더욱 자연스럽게 섞입니다.

실행되면 드로퍼는 사용자에게 알 수 없는 출처에서 설치를 허용하라는 메시지를 표시하고, 샌드박싱 및 보안 도구를 우회하도록 설계된 복잡한 페이로드 추출 프로세스를 시작합니다. 그런 다음 악성 프로그램은 비디오 재생 애플리케이션으로 위장하여 접근성 서비스 권한을 요청하고, 백그라운드에서 조용히 실행되면서 기기 작동에 대한 광범위한 제어 권한을 획득합니다. 사용자를 속이기 위해 가짜 설치 실패 메시지가 표시되고, 악성 오버레이가 진행 중인 활동을 숨깁니다.

해당 캠페인은 여러 가지 기만적인 애플리케이션 아이디를 활용했습니다.

StreamTV(org.lgvvfj.pluscqpuj 또는 org.dawme.secure5ny) - 드롭퍼 역할을 함

비디오 재생기(org.yjeiwd.plusdc71 또는 org.azgaw.managerkst1d) – Mirax 페이로드 전달

명령 및 제어 아키텍처와 통신 채널

Mirax는 C2 서버와 여러 양방향 통신 채널을 구축하여 효율적인 작업 실행 및 데이터 유출을 가능하게 합니다. 각기 다른 운영 목적에 따라 서로 다른 WebSocket 연결이 사용됩니다.

• 포트 8443은 원격 접속 관리 및 명령 실행을 처리합니다.
• 포트 8444는 원격 스트리밍 및 데이터 유출을 지원합니다.
• 포트 8445(또는 사용자 지정 포트)는 SOCKS5 기반 주거용 프록시 작업을 지원합니다.

이러한 분할된 아키텍처는 신뢰성과 운영 유연성을 향상시키는 동시에 탐지 노력을 복잡하게 만듭니다.

사이버 범죄 활동의 새로운 국면

RAT(원격 접속 트로이목마)와 주거용 프록시 기능의 통합은 모바일 위협 설계에 있어 중대한 진화를 의미합니다. 과거에는 프록시 봇넷이 주로 해킹된 IoT 기기나 스마트 TV와 같은 저가형 안드로이드 하드웨어와 연관되어 있었습니다. 하지만 Mirax는 이러한 기능을 완전한 기능을 갖춘 뱅킹 트로이목마에 내장하는 방향으로 나아가고 있으며, 이는 감염의 가치와 공격자의 작전 다양성을 극적으로 증가시킵니다.

Mirax는 금융 사기 메커니즘과 프록시 인프라를 결합하여 위협 행위자가 피해자를 직접 공격하는 동시에 피해자의 기기를 더 광범위한 사이버 범죄 생태계의 자산으로 활용할 수 있도록 합니다.