Mirax RIURKĖ
Naujai identifikuotas nuotolinės prieigos „Android“ Trojos arklys „Mirax“ aktyviai taikosi į ispanakalbius regionus vykdydamas didelio masto socialinės žiniasklaidos kampanijas. Kenkėjiški veikėjai panaudojo reklamą tokiose platformose kaip „Facebook“, „Instagram“, „Messenger“ ir „Threads“, pasiekdami daugiau nei 220 000 paskyrų. Šis platus demaskavimas rodo apgalvotas pastangas išnaudoti patikimas reklamos ekosistemas kenkėjiškoms programoms platinti.
Turinys
Išplėstinės nuotolinio valdymo galimybės
„Mirax“ veikia kaip itin pajėgus nuotolinės prieigos Trojos arklys (RAT), suteikiantis užpuolikams visišką, realiuoju laiku kontroliuojamą pažeistų įrenginių kontrolę. Jo funkcionalumas viršija standartines RAT operacijas, leidžiant stebėti užkrėstas sistemas ir sąveikauti su jomis detaliu lygmeniu. Galimybės apima klavišų paspaudimų registravimą, nuotraukų nuskaitymą, užrakinimo ekrano duomenų rinkimą, komandų vykdymą, sąsajos naršymą ir nuolatinį naudotojų veiklos stebėjimą.
Be to, kenkėjiška programa gali nuskaityti ir rodyti dinaminius HTML perdengimus iš savo komandų ir valdymo (C2) infrastruktūros, taip palengvindama prisijungimo duomenų rinkimą per apgaulingas sąsajas.
Aukų pavertimas įgaliotine infrastruktūra
Išskirtinis „Mirax“ bruožas yra gebėjimas užkrėstus įrenginius paversti gyvenamųjų namų tarpinio serverio mazgais. Integruodama SOCKS5 protokolo palaikymą kartu su „Yamux“ multipleksavimu, kenkėjiška programa sukuria nuolatinius tarpinio serverio kanalus, kurie nukreipia užpuoliko srautą per teisėtus vartotojų IP adresus. Ši funkcija leidžia priešininkams apeiti geolokacijos apribojimus, išvengti sukčiavimo aptikimo mechanizmų ir vykdyti kenkėjišką veiklą, pvz., paskyrų perėmimą, užtikrinant didesnį anonimiškumą ir patikimumą.
Kenkėjiška programa kaip paslauga su išskirtine prieiga
„Mirax“ reklamuojama kaip kenkėjiškų programų kaip paslaugos (angl. MaaS) pasiūlymas pavadinimu „Mirax Bot“. Prieiga prie pilnų funkcijų versijos kainuoja 2 500 USD už trijų mėnesių prenumeratą. Tuo pačiu metu galima įsigyti sumažintą versiją už 1 750 USD per mėnesį, kurioje nėra tokių funkcijų kaip tarpinio serverio funkcija ir „Google Play Protect“ apėjimo galimybės. Skirtingai nuo įprastų „MaaS“ platformų, platinimas yra griežtai kontroliuojamas ir apribotas ribotai filialų grupei, daugiausia rusakalbiams veikėjams, turintiems gerą reputaciją pogrindiniuose forumuose. Šis išskirtinumas rodo sąmoningą dėmesį veiklos saugumui ir nuolatiniam kampanijos efektyvumui.
Socialinė inžinerija per kenkėjišką reklamą
Užkrato grandinė labai priklauso nuo apgaulingų reklamos kampanijų, vykdomų „Meta“ platformose. Šios reklamos reklamuoja nesąžiningas transliacijų paslaugas, siūlančias nemokamą prieigą prie tiesioginių sporto varžybų ir filmų, viliodamos vartotojus atsisiųsti kenkėjiškas programas. Nustatyta daug skelbimų, kuriuose daugiausia dėmesio skiriama vartotojams Ispanijoje. Vien viena kampanija, pradėta 2026 m. balandžio 6 d., pasiekė beveik 191 000 vartotojų, o tai rodo šios platinimo strategijos mastą ir efektyvumą.
Sudėtingi pristatymo ir vengimo metodai
„Mirax“ naudoja daugiapakopį užkrėtimo procesą, skirtą išvengti aptikimo ir analizės. „Dropper“ programos platinamos per tinklalapius, kurie vykdo griežtus prieigos patikrinimus, užtikrindami, kad tęsti gali tik mobilieji vartotojai, tuo pačiu blokuodami automatinius saugumo nuskaitymus. Kenkėjiški APK failai yra talpinami „GitHub“, dar labiau susiliejant su teisėta infrastruktūra.
Paleidus programą, ji paragina vartotojus įjungti diegimą iš nežinomų šaltinių, inicijuodamas sudėtingą naudingosios apkrovos išgavimo procesą, sukurtą apeiti smėlio dėžės ir saugos įrankius. Tada kenkėjiška programa užmaskuoja save kaip vaizdo įrašų atkūrimo programą ir prašo prieigos prie prieigos paslaugų leidimų, suteikdama jai plačią įrenginio operacijų kontrolę, tyliai veikdama fone. Siekiant suklaidinti vartotojus, rodomas netikras diegimo nesėkmės pranešimas, o kenkėjiškos perdangos slepia vykstančią veiklą.
Kampanijoje buvo panaudotos kelios apgaulingos programų tapatybės:
„StreamTV“ (org.lgvvfj.pluscqpuj arba org.dawme.secure5ny) – veikia kaip lašintuvas
Vaizdo įrašų grotuvas (org.yjeiwd.plusdc71 arba org.azgaw.managergst1d) – „Mirax“ naudingosios apkrovos pateikimas
Komandos ir kontrolės architektūra bei ryšio kanalai
„Mirax“ su savo C2 serveriais sukuria kelis dvikrypčius ryšio kanalus, kurie leidžia efektyviai vykdyti užduotis ir išgauti duomenis. Skirtingi „WebSocket“ ryšiai naudojami skirtingiems operaciniams tikslams:
- 8443 prievadas tvarko nuotolinės prieigos valdymą ir komandų vykdymą.
- 8444 prievadas palaiko nuotolinį srautinį perdavimą ir duomenų išgavimą.
- 8445 prievadas (arba pasirinktiniai prievadai) palengvina SOCKS5 pagrindu veikiančių gyvenamųjų namų tarpinio serverio operacijas.
Ši segmentuota architektūra padidina patikimumą ir veikimo lankstumą, tuo pačiu apsunkindama aptikimo pastangas.
Naujas kibernetinių nusikaltimų operacijų etapas
RAT ir gyvenamųjų namų tarpinio serverio galimybių integravimas rodo reikšmingą mobiliųjų grėsmių dizaino evoliuciją. Istoriškai tarpinio serverio botnetai buvo siejami su pažeistais daiktų interneto įrenginiais arba nebrangia „Android“ įranga, pavyzdžiui, išmaniaisiais televizoriais. „Mirax“ reiškia poslinkį link šių galimybių integravimo į visavertes bankininkystės Trojos arklius, smarkiai padidinant tiek kiekvieno užkrato vertę, tiek užpuolikų operacijų universalumą.
Derindama finansinio sukčiavimo mechanizmus su tarpinio serverio infrastruktūra, „Mirax“ leidžia grėsmių veikėjams vienu metu tiesiogiai išnaudoti aukas ir panaudoti jų įrenginius kaip turtą platesnėse kibernetinių nusikaltimų ekosistemose.
