Mirax TIKUS

Trojan akses jauh Android yang baru dikenal pasti, Mirax, sedang giat menyasarkan kawasan berbahasa Sepanyol melalui kempen media sosial berskala besar. Pelaku ancaman telah memanfaatkan iklan di platform seperti Facebook, Instagram, Messenger dan Threads, menjangkau lebih 220,000 akaun. Pendedahan meluas ini menonjolkan usaha yang dirancang untuk mengeksploitasi ekosistem pengiklanan yang dipercayai untuk pengedaran perisian hasad.

Keupayaan Kawalan Jauh Lanjutan

Mirax beroperasi sebagai Trojan Akses Jauh (RAT) yang sangat berkemampuan, memberikan penyerang kawalan penuh dan masa nyata ke atas peranti yang diceroboh. Fungsinya melangkaui operasi RAT standard, membolehkan pengawasan dan interaksi dengan sistem yang dijangkiti pada tahap terperinci. Keupayaan termasuk pengelogan ketukan kekunci, penapisan foto, pengumpulan data skrin kunci, pelaksanaan arahan, navigasi antara muka dan pemantauan berterusan aktiviti pengguna.

Selain itu, perisian hasad ini boleh mendapatkan dan memaparkan tindanan HTML dinamik daripada infrastruktur Perintah dan Kawalan (C2), memudahkan penuaian kelayakan melalui antara muka yang mengelirukan.

Mengubah Mangsa menjadi Infrastruktur Proksi

Ciri khas Mirax ialah keupayaannya untuk menukar peranti yang dijangkiti kepada nod proksi kediaman. Dengan menggabungkan sokongan protokol SOCKS5 bersama-sama pemultipleksan Yamux, perisian hasad ini mewujudkan saluran proksi berterusan yang menghalakan trafik penyerang melalui alamat IP pengguna yang sah. Fungsi ini membolehkan musuh memintas sekatan geolokasi, mengelak mekanisme pengesanan penipuan dan menjalankan aktiviti berniat jahat seperti pengambilalihan akaun dengan anonimiti dan kredibiliti yang dipertingkatkan.

Perisian Hasad-sebagai-Perkhidmatan dengan Akses Eksklusif

Mirax dipasarkan sebagai tawaran Malware-as-a-Service (MaaS) di bawah nama 'Mirax Bot.' Akses kepada versi penuh ciri berharga $2,500 untuk langganan tiga bulan. Pada masa yang sama, varian yang dikurangkan tersedia dengan harga $1,750 sebulan, kekurangan ciri seperti fungsi proksi dan keupayaan pintasan Google Play Protect. Tidak seperti platform MaaS biasa, pengedaran dikawal ketat dan terhad kepada sekumpulan ahli gabungan yang terhad, terutamanya pelakon berbahasa Rusia dengan reputasi yang mantap dalam forum bawah tanah. Eksklusiviti ini menunjukkan tumpuan yang disengajakan terhadap keselamatan operasi dan keberkesanan kempen yang berterusan.

Kejuruteraan Sosial Melalui Pengiklanan Berniat Jahat

Rantaian jangkitan sangat bergantung pada kempen pengiklanan yang mengelirukan yang dihoskan di platform Meta. Iklan-iklan ini mempromosikan perkhidmatan penstriman palsu yang menawarkan akses percuma kepada sukan dan filem langsung, menarik pengguna untuk memuat turun aplikasi berniat jahat. Pelbagai iklan telah dikenal pasti, dengan tumpuan yang kuat kepada pengguna di Sepanyol. Satu kempen sahaja, yang dilancarkan pada 6 April 2026, telah menjangkau hampir 191,000 pengguna, menunjukkan skala dan keberkesanan strategi pengedaran ini.

Teknik Penyampaian dan Pengelakan yang Canggih

Mirax menggunakan proses jangkitan berbilang peringkat yang direka untuk mengelakkan pengesanan dan analisis. Aplikasi Dropper diedarkan melalui halaman web yang menguatkuasakan pemeriksaan akses yang ketat, memastikan hanya pengguna mudah alih yang boleh meneruskan sambil menyekat imbasan keselamatan automatik. Fail APK berniat jahat dihoskan di GitHub, seterusnya digabungkan ke dalam infrastruktur yang sah.

Sebaik sahaja dilaksanakan, dropper akan meminta pengguna untuk mendayakan pemasangan daripada sumber yang tidak diketahui, memulakan proses pengekstrakan muatan kompleks yang direka bentuk untuk memintas sandboxing dan alat keselamatan. Malware kemudiannya menyamar sebagai aplikasi main balik video dan meminta kebenaran perkhidmatan kebolehcapaian, memberikannya kawalan meluas ke atas operasi peranti sambil berjalan secara senyap di latar belakang. Mesej kegagalan pemasangan palsu dipaparkan untuk mengelirukan pengguna, manakala tindanan berniat jahat menyembunyikan aktiviti yang sedang dijalankan.

Kempen ini telah menggunakan beberapa identiti aplikasi yang mengelirukan:

StreamTV (org.lgvvfj.pluscqpuj atau org.dawme.secure5ny) – berfungsi sebagai penitis

Penghasil video (org.yjeiwd.plusdc71 atau org.azgaw.managergst1d) – menyampaikan muatan Mirax

Senibina Perintah dan Kawalan dan Saluran Komunikasi

Mirax mewujudkan pelbagai saluran komunikasi dwiarah dengan pelayan C2nya, membolehkan pelaksanaan tugas dan penyaringan data yang cekap. Sambungan WebSocket yang berbeza digunakan untuk tujuan operasi yang berbeza:

• Port 8443 mengendalikan pengurusan akses jauh dan pelaksanaan arahan.
• Port 8444 menyokong penstriman jauh dan penapisan data.
• Port 8445 (atau port tersuai) memudahkan operasi proksi kediaman berasaskan SOCKS5.

Seni bina bersegmen ini meningkatkan kebolehpercayaan dan fleksibiliti operasi sambil merumitkan usaha pengesanan.

Fasa Baharu dalam Operasi Jenayah Siber

Integrasi keupayaan RAT dan proksi kediaman menandakan evolusi yang ketara dalam reka bentuk ancaman mudah alih. Dari segi sejarah, botnet proksi dikaitkan dengan peranti IoT yang dikompromi atau perkakasan Android berkos rendah seperti TV pintar. Mirax mewakili peralihan ke arah penyematan keupayaan ini dalam trojan perbankan berciri penuh, meningkatkan nilai setiap jangkitan dan fleksibiliti operasi penyerang secara mendadak.

Dengan menggabungkan mekanisme penipuan kewangan dengan infrastruktur proksi, Mirax membolehkan pelaku ancaman mengeksploitasi mangsa secara langsung dan memanfaatkan peranti mereka sebagai aset dalam ekosistem jenayah siber yang lebih luas.