Mirax RAT
Um novo trojan de acesso remoto para Android, o Mirax, está sendo ativamente direcionado a regiões de língua espanhola por meio de campanhas em larga escala nas redes sociais. Os agentes maliciosos têm utilizado anúncios em plataformas como Facebook, Instagram, Messenger e Threads, alcançando mais de 220.000 contas. Essa ampla exposição evidencia um esforço calculado para explorar ecossistemas de publicidade confiáveis para a distribuição de malware.
Índice
Recursos avançados de controle remoto
O Mirax opera como um Trojan de Acesso Remoto (RAT) altamente capaz, concedendo aos atacantes controle total e em tempo real sobre dispositivos comprometidos. Sua funcionalidade vai além das operações padrão de um RAT, permitindo vigilância e interação com sistemas infectados em um nível granular. As capacidades incluem registro de teclas digitadas, exfiltração de fotos, coleta de dados da tela de bloqueio, execução de comandos, navegação na interface e monitoramento contínuo da atividade do usuário.
Além disso, o malware pode recuperar e exibir sobreposições HTML dinâmicas de sua infraestrutura de Comando e Controle (C2), facilitando a coleta de credenciais por meio de interfaces enganosas.
Transformando vítimas em infraestrutura proxy
Uma característica definidora do Mirax é sua capacidade de converter dispositivos infectados em nós proxy residenciais. Ao incorporar suporte ao protocolo SOCKS5 juntamente com a multiplexação Yamux, o malware estabelece canais proxy persistentes que roteiam o tráfego do atacante por meio de endereços IP de usuários legítimos. Essa funcionalidade permite que os adversários contornem restrições de geolocalização, evitem mecanismos de detecção de fraudes e realizem atividades maliciosas, como apropriação de contas, com maior anonimato e credibilidade.
Malware como serviço com acesso exclusivo
O Mirax é comercializado como um serviço de malware (MaaS) sob o nome de 'Mirax Bot'. O acesso à versão completa custa US$ 2.500 por uma assinatura de três meses. Simultaneamente, uma versão reduzida está disponível por US$ 1.750 por mês, sem recursos como funcionalidade de proxy e capacidade de burlar o Google Play Protect. Ao contrário das plataformas MaaS típicas, a distribuição é rigorosamente controlada e restrita a um grupo limitado de afiliados, principalmente atores de língua russa com reputação consolidada em fóruns clandestinos. Essa exclusividade sugere um foco deliberado na segurança operacional e na eficácia contínua das campanhas.
Engenharia social por meio de publicidade maliciosa
A cadeia de infecção depende fortemente de campanhas publicitárias enganosas hospedadas em plataformas Meta. Esses anúncios promovem serviços de streaming fraudulentos que oferecem acesso gratuito a esportes e filmes ao vivo, induzindo os usuários a baixar aplicativos maliciosos. Vários anúncios foram identificados, com forte foco em usuários na Espanha. Apenas uma campanha, lançada em 6 de abril de 2026, alcançou quase 191.000 usuários, demonstrando a escala e a eficácia dessa estratégia de distribuição.
Técnicas sofisticadas de entrega e evasão
O Mirax emprega um processo de infecção em múltiplos estágios, projetado para evitar detecção e análise. Os aplicativos dropper são distribuídos por meio de páginas da web que impõem verificações de acesso rigorosas, garantindo que apenas usuários de dispositivos móveis possam prosseguir, ao mesmo tempo que bloqueiam varreduras de segurança automatizadas. Os arquivos APK maliciosos são hospedados no GitHub, integrando-se ainda mais à infraestrutura legítima.
Uma vez executado, o dropper solicita aos usuários que habilitem a instalação de fontes desconhecidas, iniciando um complexo processo de extração de payload projetado para burlar o sandbox e as ferramentas de segurança. O malware então se disfarça de aplicativo de reprodução de vídeo e solicita permissões de serviço de acessibilidade, concedendo-lhe amplo controle sobre as operações do dispositivo enquanto é executado silenciosamente em segundo plano. Uma mensagem falsa de falha na instalação é exibida para enganar os usuários, enquanto sobreposições maliciosas ocultam a atividade em andamento.
A campanha utilizou diversas identidades de aplicativos enganosas:
StreamTV (org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) – funcionando como o dropper
Reprodutor de vídeo (org.yjeiwd.plusdc71 ou org.azgaw.managergst1d) – entregando a carga útil Mirax
Arquitetura de comando e controle e canais de comunicação
O Mirax estabelece múltiplos canais de comunicação bidirecional com seus servidores C2, permitindo a execução eficiente de tarefas e a exfiltração de dados. Conexões WebSocket distintas são usadas para diferentes finalidades operacionais:
- A porta 8443 é responsável pelo gerenciamento de acesso remoto e pela execução de comandos.
- A porta 8444 suporta streaming remoto e exfiltração de dados.
- A porta 8445 (ou portas personalizadas) facilita operações de proxy residencial baseadas em SOCKS5.
Essa arquitetura segmentada aumenta a confiabilidade e a flexibilidade operacional, ao mesmo tempo que complica os esforços de detecção.
Uma nova fase nas operações cibercriminosas
A integração de recursos de RAT e proxy residencial sinaliza uma evolução significativa no design de ameaças móveis. Historicamente, as botnets de proxy eram associadas a dispositivos IoT comprometidos ou hardware Android de baixo custo, como smart TVs. O Mirax representa uma mudança em direção à incorporação desses recursos em trojans bancários completos, aumentando drasticamente tanto o valor de cada infecção quanto a versatilidade das operações do atacante.
Ao combinar mecanismos de fraude financeira com infraestrutura de proxy, a Mirax permite que agentes maliciosos explorem as vítimas diretamente e, simultaneamente, utilizem seus dispositivos como ativos em ecossistemas cibercriminosos mais amplos.
