Mirax RUT
Jaunidentificēts attālās piekļuves Android Trojas zirgs Mirax aktīvi mērķē uz spāņu valodā runājošajiem reģioniem, izmantojot plaša mēroga sociālo mediju kampaņas. Draudu izpildītāji ir izmantojuši reklāmas tādās platformās kā Facebook, Instagram, Messenger un Threads, sasniedzot vairāk nekā 220 000 kontu. Šī plašā atmaskošana liecina par apzinātiem centieniem izmantot uzticamas reklāmas ekosistēmas ļaunprogrammatūras izplatīšanai.
Satura rādītājs
Uzlabotas tālvadības pults iespējas
Mirax darbojas kā ļoti spējīgs attālās piekļuves Trojas zirgs (RAT), piešķirot uzbrucējiem pilnīgu reāllaika kontroli pār apdraudētām ierīcēm. Tā funkcionalitāte pārsniedz standarta RAT darbības, nodrošinot uzraudzību un mijiedarbību ar inficētām sistēmām detalizētā līmenī. Iespējas ietver taustiņsitienu reģistrēšanu, fotoattēlu eksfiltrāciju, bloķēšanas ekrāna datu vākšanu, komandu izpildi, saskarnes navigāciju un nepārtrauktu lietotāja aktivitāšu uzraudzību.
Turklāt ļaunprogrammatūra var izgūt un parādīt dinamiskus HTML pārklājumus no savas komandvadības un vadības (C2) infrastruktūras, atvieglojot akreditācijas datu iegūšanu, izmantojot maldinošas saskarnes.
Upuru pārvēršana par starpniekservera infrastruktūru
Mirax raksturīga iezīme ir tā spēja pārveidot inficētas ierīces par dzīvojamo māju starpniekservera mezgliem. Iekļaujot SOCKS5 protokola atbalstu līdzās Yamux multipleksēšanai, ļaunprogrammatūra izveido pastāvīgus starpniekservera kanālus, kas novirza uzbrucēja datplūsmu caur likumīgām lietotāju IP adresēm. Šī funkcionalitāte ļauj pretiniekiem apiet ģeolokācijas ierobežojumus, izvairīties no krāpšanas atklāšanas mehānismiem un veikt ļaunprātīgas darbības, piemēram, kontu pārņemšanu, ar uzlabotu anonimitāti un ticamību.
Ļaunprogrammatūra kā pakalpojums ar ekskluzīvu piekļuvi
Mirax tiek tirgots kā ļaunprogrammatūras pakalpojums (MaaS) ar nosaukumu “Mirax Bot”. Piekļuve pilnvērtīgai versijai maksā 2500 ASV dolāru par trīs mēnešu abonementu. Tajā pašā laikā ir pieejama samazināta versija par 1750 ASV dolāriem mēnesī, kurai trūkst tādu funkciju kā starpniekservera funkcionalitāte un Google Play Protect apiešanas iespējas. Atšķirībā no tipiskām MaaS platformām, izplatīšana ir stingri kontrolēta un ierobežota ierobežotai filiāļu grupai, galvenokārt krieviski runājošiem dalībniekiem ar iedibinātu reputāciju pagrīdes forumos. Šī ekskluzivitāte liecina par apzinātu koncentrēšanos uz darbības drošību un ilgtspējīgu kampaņas efektivitāti.
Sociālā inženierija, izmantojot ļaunprātīgu reklāmu
Infekcijas ķēde lielā mērā balstās uz maldinošām reklāmas kampaņām, kas tiek mitinātas Meta platformās. Šīs reklāmas reklamē krāpnieciskus straumēšanas pakalpojumus, kas piedāvā bezmaksas piekļuvi tiešraidēm sporta pārraidēs un filmās, mudinot lietotājus lejupielādēt ļaunprātīgas lietotnes. Ir identificētas vairākas reklāmas, kas galvenokārt koncentrējas uz lietotājiem Spānijā. Viena vien kampaņa, kas tika uzsākta 2026. gada 6. aprīlī, sasniedza gandrīz 191 000 lietotāju, demonstrējot šīs izplatīšanas stratēģijas mērogu un efektivitāti.
Izsmalcinātas piegādes un izvairīšanās metodes
Mirax izmanto daudzpakāpju inficēšanas procesu, kas izstrādāts, lai izvairītos no atklāšanas un analīzes. Dropper lietojumprogrammas tiek izplatītas, izmantojot tīmekļa lapas, kas stingri pārbauda piekļuves iespējas, nodrošinot, ka tikai mobilo ierīču lietotāji var turpināt darbu, vienlaikus bloķējot automatizētas drošības skenēšanas. Ļaunprātīgie APK faili tiek mitināti GitHub, vēl vairāk saplūstot ar likumīgu infrastruktūru.
Kad dropper ir izpildīts, tas aicina lietotājus iespējot instalēšanu no nezināmiem avotiem, uzsākot sarežģītu vērtuma izgūšanas procesu, kas izstrādāts, lai apietu smilškastes tehnoloģiju un drošības rīkus. Pēc tam ļaunprogrammatūra maskējas kā video atskaņošanas lietojumprogramma un pieprasa piekļuves pakalpojuma atļaujas, piešķirot tai plašu kontroli pār ierīces darbībām, vienlaikus klusi darbojoties fonā. Lai maldinātu lietotājus, tiek parādīts viltots instalēšanas kļūmes ziņojums, savukārt ļaunprātīgi pārklājumi slēpj notiekošo darbību.
Kampaņā ir izmantotas vairākas maldinošas lietojumprogrammu identitātes:
StreamTV (org.lgvvfj.pluscqpuj vai org.dawme.secure5ny) — darbojas kā nomešanas rīks
Video atskaņotājs (org.yjeiwd.plusdc71 vai org.azgaw.managergst1d) — Mirax lietderīgās slodzes piegāde
Komandvadības un kontroles arhitektūra un sakaru kanāli
Mirax izveido vairākus divvirzienu saziņas kanālus ar saviem C2 serveriem, nodrošinot efektīvu uzdevumu izpildi un datu izgāšanu. Dažādiem darbības mērķiem tiek izmantoti atšķirīgi WebSocket savienojumi:
- 8443. ports apstrādā attālās piekļuves pārvaldību un komandu izpildi.
- 8444. ports atbalsta attālo straumēšanu un datu eksfiltrāciju.
- 8445. ports (vai pielāgoti porti) nodrošina SOCKS5 balstītas dzīvojamo māju starpniekservera darbības.
Šī segmentētā arhitektūra uzlabo uzticamību un darbības elastību, vienlaikus sarežģot noteikšanas centienus.
Jauns posms kibernoziedznieku operācijās
RAT un dzīvojamo ierīču starpniekservera iespēju integrācija liecina par ievērojamu mobilo apdraudējumu dizaina evolūciju. Vēsturiski starpniekservera botneti bija saistīti ar apdraudētām lietu interneta ierīcēm vai lētu Android aparatūru, piemēram, viedtelevizoriem. Mirax pārstāv pāreju uz šo iespēju iestrādāšanu pilnvērtīgos banku Trojas zirgos, ievērojami palielinot gan katras infekcijas vērtību, gan uzbrucēju darbību daudzpusību.
Apvienojot finanšu krāpšanas mehānismus ar starpniekservera infrastruktūru, Mirax ļauj apdraudējumu dalībniekiem vienlaikus tieši izmantot upurus un izmantot viņu ierīces kā līdzekļus plašākās kibernoziedznieku ekosistēmās.
