Mirax RAT
Een recent ontdekte Android-trojan voor toegang op afstand, Mirax, richt zich actief op Spaanstalige regio's via grootschalige campagnes op sociale media. De daders hebben advertenties geplaatst op platforms zoals Facebook, Instagram, Messenger en Threads, waarmee ze meer dan 220.000 accounts hebben bereikt. Deze wijdverspreide aanwezigheid wijst op een weloverwogen poging om vertrouwde advertentiesystemen te misbruiken voor de verspreiding van malware.
Inhoudsopgave
Geavanceerde mogelijkheden voor afstandsbediening
Mirax functioneert als een zeer capabele Remote Access Trojan (RAT), waarmee aanvallers volledige, realtime controle krijgen over geïnfecteerde apparaten. De functionaliteit gaat verder dan standaard RAT-bewerkingen en maakt bewaking en interactie met geïnfecteerde systemen op een gedetailleerd niveau mogelijk. Mogelijkheden zijn onder andere het registreren van toetsaanslagen, het stelen van foto's, het verzamelen van gegevens van het vergrendelscherm, het uitvoeren van commando's, het navigeren door interfaces en het continu monitoren van gebruikersactiviteit.
Daarnaast kan de malware dynamische HTML-overlays ophalen en weergeven vanuit zijn Command-and-Control (C2)-infrastructuur, waardoor het verzamelen van inloggegevens via misleidende interfaces wordt vergemakkelijkt.
Slachtoffers omvormen tot proxy-infrastructuur
Een kenmerkend aspect van Mirax is het vermogen om geïnfecteerde apparaten om te zetten in proxy-nodes voor thuisgebruik. Door ondersteuning voor het SOCKS5-protocol te combineren met Yamux-multiplexing, creëert de malware permanente proxykanalen die het verkeer van de aanvaller via legitieme IP-adressen van gebruikers leiden. Deze functionaliteit stelt aanvallers in staat om geografische beperkingen te omzeilen, fraudedetectiemechanismen te ontwijken en kwaadaardige activiteiten zoals accountovernames uit te voeren met verbeterde anonimiteit en geloofwaardigheid.
Malware-as-a-Service met exclusieve toegang
Mirax wordt op de markt gebracht als een Malware-as-a-Service (MaaS)-aanbod onder de naam 'Mirax Bot'. Toegang tot de volledige versie kost $ 2.500 voor een abonnement van drie maanden. Tegelijkertijd is er een uitgeklede variant beschikbaar voor $ 1.750 per maand, zonder functies zoals proxyfunctionaliteit en de mogelijkheid om Google Play Protect te omzeilen. In tegenstelling tot typische MaaS-platforms is de distributie streng gecontroleerd en beperkt tot een kleine groep partners, voornamelijk Russischsprekende actoren met een gevestigde reputatie in undergroundfora. Deze exclusiviteit suggereert een bewuste focus op operationele beveiliging en een duurzame effectiviteit van de campagne.
Sociale manipulatie via misleidende reclame.
De infectieketen is grotendeels gebaseerd op misleidende advertentiecampagnes op Meta-platformen. Deze advertenties promoten frauduleuze streamingdiensten die gratis toegang bieden tot live sportevenementen en films, waardoor gebruikers worden verleid om schadelijke applicaties te downloaden. Er zijn meerdere advertenties geïdentificeerd, met een sterke focus op gebruikers in Spanje. Eén campagne, gelanceerd op 6 april 2026, bereikte bijna 191.000 gebruikers, wat de omvang en effectiviteit van deze distributiestrategie aantoont.
Geavanceerde bezorgings- en ontwijkingstechnieken
Mirax maakt gebruik van een infectieproces in meerdere stappen, ontworpen om detectie en analyse te omzeilen. Dropper-applicaties worden verspreid via webpagina's met strenge toegangscontroles, waardoor alleen mobiele gebruikers toegang hebben en geautomatiseerde beveiligingsscans worden geblokkeerd. De kwaadaardige APK-bestanden worden gehost op GitHub, waardoor ze nog beter opgaan in legitieme infrastructuren.
Na uitvoering vraagt de dropper gebruikers om installatie vanuit onbekende bronnen toe te staan, waarmee een complex proces voor het extraheren van de payload wordt gestart. Dit proces is ontworpen om sandboxing en beveiligingstools te omzeilen. De malware vermomt zich vervolgens als een video-afspeelapplicatie en vraagt toestemming voor toegankelijkheidsdiensten, waardoor het uitgebreide controle krijgt over de werking van het apparaat terwijl het stilletjes op de achtergrond draait. Een nepbericht over een mislukte installatie wordt weergegeven om gebruikers te misleiden, terwijl kwaadaardige overlays de lopende activiteiten verbergen.
De campagne heeft gebruikgemaakt van verschillende misleidende app-identiteiten:
StreamTV (org.lgvvfj.pluscqpuj of org.dawme.secure5ny) – functioneert als de dropper
Video-reproductie (org.yjeiwd.plusdc71 of org.azgaw.managergst1d) – het leveren van de Mirax-payload
Command-and-control-architectuur en communicatiekanalen
Mirax legt meerdere bidirectionele communicatiekanalen aan met zijn C2-servers, waardoor efficiënte taakuitvoering en data-exfiltratie mogelijk zijn. Voor verschillende operationele doeleinden worden afzonderlijke WebSocket-verbindingen gebruikt:
- Poort 8443 wordt gebruikt voor beheer van toegang op afstand en het uitvoeren van opdrachten.
- Poort 8444 ondersteunt streaming op afstand en data-exfiltratie.
- Poort 8445 (of aangepaste poorten) maakt SOCKS5-gebaseerde residentiële proxy-activiteiten mogelijk.
Deze gesegmenteerde architectuur verbetert de betrouwbaarheid en operationele flexibiliteit, maar maakt detectiepogingen complexer.
Een nieuwe fase in cybercriminaliteit
De integratie van RAT- en residentiële proxyfunctionaliteiten duidt op een belangrijke evolutie in het ontwerp van mobiele dreigingen. Historisch gezien werden proxy-botnets geassocieerd met gecompromitteerde IoT-apparaten of goedkope Android-hardware zoals smart-tv's. Mirax vertegenwoordigt een verschuiving naar het inbouwen van deze functionaliteiten in volwaardige banktrojans, waardoor zowel de waarde van elke infectie als de veelzijdigheid van aanvallers aanzienlijk toeneemt.
Door financiële fraudemechanismen te combineren met proxy-infrastructuur, stelt Mirax cybercriminelen in staat om slachtoffers direct uit te buiten en hun apparaten tegelijkertijd in te zetten als middelen binnen bredere cybercriminele ecosystemen.
