Mirax RAT
Un troian Android de acces la distanță recent identificat, Mirax, vizează în mod activ regiunile vorbitoare de limbă spaniolă prin campanii la scară largă pe rețelele sociale. Actorii amenințători au folosit reclame pe platforme precum Facebook, Instagram, Messenger și Threads, ajungând la peste 220.000 de conturi. Această expunere pe scară largă evidențiază un efort calculat de a exploata ecosistemele publicitare de încredere pentru distribuirea de programe malware.
Cuprins
Capacități avansate de control de la distanță
Mirax funcționează ca un troian de acces la distanță (RAT) extrem de capabil, oferind atacatorilor control deplin, în timp real, asupra dispozitivelor compromise. Funcționalitatea sa se extinde dincolo de operațiunile RAT standard, permițând supravegherea și interacțiunea cu sistemele infectate la nivel granular. Capacitățile includ înregistrarea apăsărilor de taste, exfiltrarea fotografiilor, colectarea datelor de pe ecranul de blocare, executarea comenzilor, navigarea prin interfață și monitorizarea continuă a activității utilizatorilor.
În plus, malware-ul poate prelua și afișa suprapuneri HTML dinamice din infrastructura sa de comandă și control (C2), facilitând colectarea de acreditări prin interfețe înșelătoare.
Transformarea victimelor în infrastructură proxy
O caracteristică definitorie a Mirax este capacitatea sa de a converti dispozitivele infectate în noduri proxy rezidențiale. Prin încorporarea suportului pentru protocolul SOCKS5 alături de multiplexarea Yamux, malware-ul stabilește canale proxy persistente care direcționează traficul atacatorului prin adrese IP legitime ale utilizatorilor. Această funcționalitate permite adversarilor să ocolească restricțiile de geolocalizare, să evite mecanismele de detectare a fraudelor și să desfășoare activități rău intenționate, cum ar fi preluarea conturilor, cu anonimat și credibilitate sporite.
Malware-as-a-Service cu acces exclusiv
Mirax este comercializat ca o ofertă Malware-as-a-Service (MaaS) sub numele de „Mirax Bot”. Accesul la versiunea completă costă 2.500 de dolari pentru un abonament de trei luni. În același timp, este disponibilă o variantă redusă pentru 1.750 de dolari pe lună, lipsită de funcții precum funcționalitatea proxy și capacitățile de ocolire a Google Play Protect. Spre deosebire de platformele MaaS tipice, distribuția este strict controlată și restricționată la un grup limitat de afiliați, în principal actori vorbitori de limbă rusă cu reputație stabilită în forumurile underground. Această exclusivitate sugerează o concentrare deliberată pe securitatea operațională și eficacitatea susținută a campaniei.
Inginerie socială prin publicitate rău intenționată
Lanțul de infectare se bazează în mare măsură pe campanii publicitare înșelătoare găzduite pe platformele Meta. Aceste reclame promovează servicii de streaming frauduloase care oferă acces gratuit la sport și filme în direct, incitând utilizatorii să descarce aplicații rău intenționate. Au fost identificate mai multe reclame, cu un accent puternic pe utilizatorii din Spania. O singură campanie, lansată pe 6 aprilie 2026, a ajuns la aproape 191.000 de utilizatori, demonstrând amploarea și eficacitatea acestei strategii de distribuție.
Tehnici sofisticate de livrare și evitare
Mirax folosește un proces de infectare în mai multe etape, conceput pentru a evita detectarea și analiza. Aplicațiile Dropper sunt distribuite prin intermediul paginilor web care impun verificări stricte ale accesului, asigurându-se că doar utilizatorii mobili pot continua, blocând în același timp scanările automate de securitate. Fișierele APK rău intenționate sunt găzduite pe GitHub, integrându-se ulterior în infrastructura legitimă.
Odată executat, dropper-ul solicită utilizatorilor să activeze instalarea din surse necunoscute, inițiind un proces complex de extragere a sarcinii utile, conceput pentru a ocoli sandboxing-ul și instrumentele de securitate. Programul malware se deghizează apoi într-o aplicație de redare video și solicită permisiuni pentru servicii de accesibilitate, acordându-i control extins asupra operațiunilor dispozitivului în timp ce rulează silențios în fundal. Un mesaj fals de eșec al instalării este afișat pentru a induce în eroare utilizatorii, în timp ce suprapunerile rău intenționate ascund activitatea continuă.
Campania a utilizat mai multe identități de aplicații înșelătoare:
StreamTV (org.lgvvfj.pluscqpuj sau org.dawme.secure5ny) – funcționează ca dropper
Reproductor video (org.yjeiwd.plusdc71 sau org.azgaw.managergst1d) – livrarea sarcinii utile Mirax
Arhitectură de comandă și control și canale de comunicare
Mirax stabilește canale multiple de comunicare bidirecțională cu serverele sale C2, permițând executarea eficientă a sarcinilor și exfiltrarea datelor. Conexiunile WebSocket distincte sunt utilizate pentru diferite scopuri operaționale:
- Portul 8443 se ocupă de gestionarea accesului la distanță și de executarea comenzilor.
- Portul 8444 acceptă streaming la distanță și exfiltrarea datelor.
- Portul 8445 (sau porturile personalizate) facilitează operațiunile proxy rezidențiale bazate pe SOCKS5.
Această arhitectură segmentată îmbunătățește fiabilitatea și flexibilitatea operațională, complicând în același timp eforturile de detectare.
O nouă fază în operațiunile infracționale cibernetice
Integrarea RAT și a capabilităților proxy rezidențiale semnalează o evoluție semnificativă în designul amenințărilor mobile. Din punct de vedere istoric, botnet-urile proxy erau asociate cu dispozitive IoT compromise sau hardware Android low-cost, cum ar fi televizoarele inteligente. Mirax reprezintă o schimbare către integrarea acestor capabilități în troieni bancari complet funcționali, crescând dramatic atât valoarea fiecărei infecții, cât și versatilitatea operațiunilor atacatorilor.
Prin combinarea mecanismelor de fraudă financiară cu infrastructura proxy, Mirax permite actorilor infracționali să exploateze simultan victimele în mod direct și să le utilizeze dispozitivele ca active în ecosisteme cibernetice mai ample.
