Szczur Mirax
Niedawno zidentyfikowany trojan zdalnego dostępu dla systemu Android, Mirax, aktywnie atakuje regiony hiszpańskojęzyczne za pośrednictwem szeroko zakrojonych kampanii w mediach społecznościowych. Aktorzy wykorzystujący reklamy na platformach takich jak Facebook, Instagram, Messenger i Threads, dotarli do ponad 220 000 kont. Ta szeroka ekspozycja świadczy o celowym działaniu mającym na celu wykorzystanie zaufanych ekosystemów reklamowych do dystrybucji złośliwego oprogramowania.
Spis treści
Zaawansowane możliwości zdalnego sterowania
Mirax działa jak niezwykle wydajny trojan zdalnego dostępu (RAT), zapewniając atakującym pełną kontrolę nad zainfekowanymi urządzeniami w czasie rzeczywistym. Jego funkcjonalność wykracza poza standardowe operacje RAT, umożliwiając nadzór i interakcję z zainfekowanymi systemami na poziomie szczegółowym. Możliwości obejmują rejestrowanie naciśnięć klawiszy, eksfiltrację zdjęć, zbieranie danych z ekranu blokady, wykonywanie poleceń, nawigację po interfejsie oraz ciągłe monitorowanie aktywności użytkownika.
Ponadto złośliwe oprogramowanie może pobierać i wyświetlać dynamiczne nakładki HTML z infrastruktury Command-and-Control (C2), ułatwiając zbieranie danych uwierzytelniających za pomocą oszukańczych interfejsów.
Przekształcanie ofiar w infrastrukturę zastępczą
Cechą charakterystyczną Mirax jest możliwość konwersji zainfekowanych urządzeń na domowe węzły proxy. Dzięki obsłudze protokołu SOCKS5 i multipleksowaniu Yamux, złośliwe oprogramowanie tworzy trwałe kanały proxy, które kierują ruch atakujących przez legalne adresy IP użytkowników. Ta funkcjonalność umożliwia atakującym omijanie ograniczeń geolokalizacyjnych, unikanie mechanizmów wykrywania oszustw i prowadzenie złośliwych działań, takich jak przejęcia kont, z zachowaniem zwiększonej anonimowości i wiarygodności.
Malware-as-a-Service z wyłącznym dostępem
Mirax jest oferowany jako usługa Malware-as-a-Service (MaaS) pod nazwą „Mirax Bot”. Dostęp do pełnej wersji kosztuje 2500 dolarów za trzymiesięczną subskrypcję. Jednocześnie dostępna jest uproszczona wersja za 1750 dolarów miesięcznie, pozbawiona takich funkcji, jak obsługa proxy i możliwości omijania Google Play Protect. W przeciwieństwie do typowych platform MaaS, dystrybucja jest ściśle kontrolowana i ograniczona do wąskiej grupy podmiotów stowarzyszonych, głównie rosyjskojęzycznych aktorów o ugruntowanej reputacji na forach podziemnych. Ta ekskluzywność sugeruje celowe skupienie się na bezpieczeństwie operacyjnym i trwałej skuteczności kampanii.
Inżynieria społeczna poprzez złośliwą reklamę
Łańcuch infekcji opiera się w dużej mierze na zwodniczych kampaniach reklamowych hostowanych na platformach Meta. Reklamy te promują fałszywe serwisy streamingowe oferujące darmowy dostęp do transmisji sportowych i filmów na żywo, zachęcając użytkowników do pobierania złośliwych aplikacji. Zidentyfikowano wiele reklam, szczególnie ukierunkowanych na użytkowników w Hiszpanii. Jedna kampania, uruchomiona 6 kwietnia 2026 roku, dotarła do prawie 191 000 użytkowników, co pokazuje skalę i skuteczność tej strategii dystrybucji.
Wyrafinowane techniki dostarczania i unikania
Mirax wykorzystuje wieloetapowy proces infekcji, zaprojektowany w celu uniknięcia wykrycia i analizy. Aplikacje typu dropper są dystrybuowane za pośrednictwem stron internetowych, które wymuszają rygorystyczne kontrole dostępu, zapewniając dostęp tylko użytkownikom mobilnym, jednocześnie blokując automatyczne skanowanie bezpieczeństwa. Złośliwe pliki APK są hostowane w serwisie GitHub, co dodatkowo wtapia się w legalną infrastrukturę.
Po uruchomieniu dropper prosi użytkowników o włączenie instalacji z nieznanych źródeł, inicjując złożony proces ekstrakcji ładunku, zaprojektowany w celu ominięcia sandboxingu i narzędzi bezpieczeństwa. Następnie złośliwe oprogramowanie podszywa się pod aplikację do odtwarzania wideo i żąda uprawnień dostępu, zapewniając sobie rozległą kontrolę nad działaniem urządzenia, jednocześnie działając w tle. Wyświetlany jest fałszywy komunikat o błędzie instalacji, aby wprowadzić użytkowników w błąd, a złośliwe nakładki maskują bieżącą aktywność.
W kampanii wykorzystano kilka oszukańczych tożsamości aplikacji:
StreamTV (org.lgvvfj.pluscqpuj lub org.dawme.secure5ny) – pełni funkcję droppera
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – deliver the Mirax payload
Architektura dowodzenia i kontroli oraz kanały komunikacji
Mirax ustanawia wiele dwukierunkowych kanałów komunikacji ze swoimi serwerami C2, umożliwiając sprawne wykonywanie zadań i eksfiltrację danych. Oddzielne połączenia WebSocket służą do różnych celów operacyjnych:
- Port 8443 obsługuje zdalne zarządzanie dostępem i wykonywanie poleceń.
- Port 8444 obsługuje zdalne przesyłanie strumieniowe i eksfiltrację danych.
- Port 8445 (lub porty niestandardowe) umożliwia obsługę serwerów proxy opartych na protokole SOCKS5.
Taka segmentowana architektura zwiększa niezawodność i elastyczność operacyjną, jednocześnie utrudniając wykrywanie zagrożeń.
Nowa faza w operacjach cyberprzestępczych
Integracja funkcji RAT i proxy rezydencjalnych sygnalizuje znaczącą ewolucję w projektowaniu zagrożeń mobilnych. Tradycyjnie botnety proxy były powiązane z zainfekowanymi urządzeniami IoT lub niedrogim sprzętem z Androidem, takim jak telewizory smart TV. Mirax reprezentuje przejście w kierunku wbudowania tych funkcji w pełnowartościowe trojany bankowe, co znacząco zwiększa zarówno wartość każdej infekcji, jak i wszechstronność działań atakujących.
Łącząc mechanizmy oszustw finansowych z infrastrukturą proxy, Mirax umożliwia atakującym jednoczesne bezpośrednie wykorzystywanie ofiar i wykorzystywanie ich urządzeń jako zasobów w szerszych ekosystemach cyberprzestępców.
