Mirax RAT
En nylig identifisert Android-trojaner for fjerntilgang, Mirax, retter seg aktivt mot spansktalende regioner gjennom store kampanjer på sosiale medier. Trusselaktører har utnyttet annonser på plattformer som Facebook, Instagram, Messenger og Threads, og har nådd over 220 000 kontoer. Denne utbredte eksponeringen understreker en kalkulert innsats for å utnytte pålitelige annonseringsøkosystemer for distribusjon av skadelig programvare.
Innholdsfortegnelse
Avanserte fjernkontrollfunksjoner
Mirax fungerer som en svært kapabel fjerntilgangstrojaner (RAT), som gir angripere full kontroll i sanntid over kompromitterte enheter. Funksjonaliteten strekker seg utover standard RAT-operasjoner, og muliggjør overvåking og samhandling med infiserte systemer på et detaljert nivå. Funksjonene inkluderer tastetrykklogging, fotoutfiltrering, datainnsamling på låseskjermen, kommandokjøring, grensesnittnavigasjon og kontinuerlig overvåking av brukeraktivitet.
I tillegg kan skadevaren hente og vise dynamiske HTML-overlegg fra sin kommando-og-kontroll-infrastruktur (C2), noe som muliggjør innhøsting av legitimasjon gjennom villedende grensesnitt.
Å gjøre ofre om til proxy-infrastruktur
Et definerende kjennetegn ved Mirax er dens evne til å konvertere infiserte enheter til proxy-noder for hjemmebruk. Ved å integrere SOCKS5-protokollstøtte sammen med Yamux-multipleksing, etablerer skadevaren vedvarende proxy-kanaler som ruter angripertrafikk gjennom legitime bruker-IP-adresser. Denne funksjonaliteten lar angripere omgå geolokaliseringsbegrensninger, unngå svindeldeteksjonsmekanismer og utføre ondsinnede aktiviteter som kontoovertakelser med forbedret anonymitet og troverdighet.
Skadelig programvare som en tjeneste med eksklusiv tilgang
Mirax markedsføres som et Malware-as-a-Service (MaaS)-tilbud under navnet «Mirax Bot». Tilgang til fullfunksjonsversjonen koster 2500 dollar for et tremånedersabonnement. Samtidig er en redusert variant tilgjengelig for 1750 dollar per måned, som mangler funksjoner som proxy-funksjonalitet og Google Play Protect-omgåelsesmuligheter. I motsetning til typiske MaaS-plattformer er distribusjonen strengt kontrollert og begrenset til en begrenset gruppe tilknyttede selskaper, primært russisktalende aktører med etablerte rykter i undergrunnsfora. Denne eksklusiviteten antyder et bevisst fokus på driftssikkerhet og vedvarende kampanjeeffektivitet.
Sosial manipulering gjennom ondsinnet reklame
Smittekjeden er i stor grad avhengig av villedende reklamekampanjer på Meta-plattformer. Disse annonsene markedsfører falske strømmetjenester som tilbyr gratis tilgang til direktesendt sport og filmer, og lokker brukere til å laste ned ondsinnede apper. Flere annonser har blitt identifisert, med sterkt fokus på brukere i Spania. Én kampanje alene, lansert 6. april 2026, nådde nesten 191 000 brukere, noe som demonstrerer omfanget og effektiviteten til denne distribusjonsstrategien.
Sofistikerte leverings- og unnvikelsesteknikker
Mirax benytter en flertrinns infeksjonsprosess som er utformet for å unngå deteksjon og analyse. Dropper-applikasjoner distribueres via nettsider som håndhever strenge tilgangskontroller, noe som sikrer at bare mobilbrukere kan fortsette, samtidig som automatiserte sikkerhetsskanninger blokkeres. De skadelige APK-filene lagres på GitHub, og integreres ytterligere i den legitime infrastrukturen.
Når den er kjørt, ber dropperen brukerne om å aktivere installasjon fra ukjente kilder, noe som starter en kompleks nyttelastutvinningsprosess som er konstruert for å omgå sandkasse- og sikkerhetsverktøy. Skadevaren forkler seg deretter som et videoavspillingsprogram og ber om tillatelser til tilgjengelighetstjenester, noe som gir den omfattende kontroll over enhetsoperasjoner mens den kjører stille i bakgrunnen. En falsk melding om installasjonsfeil vises for å villede brukere, mens ondsinnede overlegg skjuler pågående aktivitet.
Kampanjen har brukt flere villedende applikasjonsidentiteter:
StreamTV (org.lgvvfj.pluscqpuj eller org.dawme.secure5ny) – fungerer som dropper
Videoreproduser (org.yjeiwd.plusdc71 eller org.azgaw.managergst1d) – leverer Mirax-nyttelasten
Kommando- og kontrollarkitektur og kommunikasjonskanaler
Mirax etablerer flere toveis kommunikasjonskanaler med sine C2-servere, noe som muliggjør effektiv oppgaveutførelse og datautvinning. Distinkte WebSocket-tilkoblinger brukes til forskjellige driftsformål:
- Port 8443 håndterer fjerntilgangsadministrasjon og kommandoutførelse.
- Port 8444 støtter ekstern strømming og datautfiltrering.
- Port 8445 (eller tilpassede porter) muliggjør SOCKS5-baserte proxy-operasjoner for private.
Denne segmenterte arkitekturen forbedrer pålitelighet og driftsfleksibilitet, samtidig som den kompliserer deteksjonsarbeidet.
En ny fase i nettkriminelle operasjoner
Integreringen av RAT og proxy-funksjoner for boliger signaliserer en betydelig utvikling innen mobil trusseldesign. Historisk sett var proxy-botnett knyttet til kompromitterte IoT-enheter eller rimelig Android-maskinvare som smart-TV-er. Mirax representerer et skifte mot å bygge inn disse funksjonene i fullfunksjonelle banktrojanere, noe som dramatisk øker både verdien av hver infeksjon og allsidigheten til angriperoperasjoner.
Ved å kombinere mekanismer for økonomisk svindel med proxy-infrastruktur, gjør Mirax det mulig for trusselaktører å samtidig utnytte ofre direkte og bruke enhetene deres som eiendeler i bredere nettkriminelle økosystemer.
