Миракс RAT
Недавно обнаруженный троян удаленного доступа для Android, Mirax, активно нацелен на испаноязычные регионы посредством масштабных кампаний в социальных сетях. Злоумышленники использовали рекламу на таких платформах, как Facebook, Instagram, Messenger и Threads, охватив более 220 000 аккаунтов. Такая широкая огласка свидетельствует о целенаправленных усилиях по использованию проверенных рекламных экосистем для распространения вредоносного ПО.
Оглавление
Расширенные возможности дистанционного управления
Mirax — это высокоэффективный троян удаленного доступа (RAT), предоставляющий злоумышленникам полный контроль в режиме реального времени над скомпрометированными устройствами. Его функциональность выходит за рамки стандартных операций RAT, обеспечивая наблюдение и взаимодействие с зараженными системами на детальном уровне. Возможности включают в себя запись нажатий клавиш, утечку фотографий, сбор данных с экрана блокировки, выполнение команд, навигацию по интерфейсу и непрерывный мониторинг активности пользователя.
Кроме того, вредоносная программа может получать и отображать динамические HTML-наложения из своей инфраструктуры управления и контроля (C2), что облегчает сбор учетных данных через обманные интерфейсы.
Превращение жертв в вспомогательную инфраструктуру
Одной из отличительных особенностей Mirax является его способность превращать зараженные устройства в резидентные прокси-узлы. Благодаря поддержке протокола SOCKS5 и мультиплексированию Yamux, вредоносная программа создает постоянные прокси-каналы, которые направляют трафик злоумышленников через легитимные IP-адреса пользователей. Эта функциональность позволяет злоумышленникам обходить ограничения по географическому местоположению, избегать механизмов обнаружения мошенничества и проводить вредоносные действия, такие как захват учетных записей, с повышенной анонимностью и достоверностью.
Вредоносное ПО как услуга с эксклюзивным доступом
Mirax позиционируется как услуга «вредоносное ПО как сервис» (MaaS) под названием «Mirax Bot». Доступ к полнофункциональной версии стоит 2500 долларов за трехмесячную подписку. В то же время, доступен урезанный вариант за 1750 долларов в месяц, в котором отсутствуют такие функции, как прокси-сервер и возможность обхода Google Play Protect. В отличие от типичных платформ MaaS, распространение строго контролируется и ограничено небольшой группой партнеров, в основном русскоязычными участниками с устоявшейся репутацией на подпольных форумах. Эта эксклюзивность предполагает целенаправленный акцент на операционной безопасности и устойчивой эффективности кампании.
Социальная инженерия посредством вредоносной рекламы
Цепочка распространения вредоносного ПО в значительной степени опирается на обманные рекламные кампании, размещаемые на платформах Meta. Эти объявления продвигают мошеннические потоковые сервисы, предлагающие бесплатный доступ к прямым трансляциям спортивных соревнований и фильмов, побуждая пользователей загружать вредоносные приложения. Было выявлено множество рекламных объявлений, ориентированных на пользователей в Испании. Одна из кампаний, запущенная 6 апреля 2026 года, охватила почти 191 000 пользователей, что демонстрирует масштаб и эффективность этой стратегии распространения.
Сложные методы доставки и уклонения
Mirax использует многоступенчатый процесс заражения, разработанный для того, чтобы избежать обнаружения и анализа. Приложения-дропперы распространяются через веб-страницы, которые обеспечивают строгую проверку доступа, гарантируя, что доступ разрешен только пользователям мобильных устройств, и блокируя автоматическое сканирование безопасности. Вредоносные APK-файлы размещаются на GitHub, что еще больше интегрирует их в легитимную инфраструктуру.
После запуска вредоносная программа предлагает пользователям разрешить установку из неизвестных источников, инициируя сложный процесс извлечения полезной нагрузки, разработанный для обхода песочницы и средств безопасности. Затем вредоносное ПО маскируется под приложение для воспроизведения видео и запрашивает разрешения на использование службы специальных возможностей, предоставляя себе широкий контроль над работой устройства, работая при этом незаметно в фоновом режиме. Для введения пользователей в заблуждение отображается поддельное сообщение об ошибке установки, а вредоносные наложения скрывают текущую активность.
В рамках кампании было использовано несколько обманных способов идентификации приложений:
StreamTV (org.lgvvfj.pluscqpuj или org.dawme.secure5ny) – выступает в роли загрузчика.
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivering the Mirax payload
Архитектура управления и контроля и каналы связи
Mirax устанавливает несколько двусторонних каналов связи со своими серверами управления и контроля (C2), что обеспечивает эффективное выполнение задач и утечку данных. Для различных операционных целей используются отдельные соединения WebSocket:
- Порт 8443 используется для управления удаленным доступом и выполнения команд.
- Порт 8444 поддерживает удалённую потоковую передачу и утечку данных.
- Порт 8445 (или пользовательские порты) обеспечивает работу резидентных прокси-серверов на основе SOCKS5.
Такая сегментированная архитектура повышает надежность и операционную гибкость, но усложняет усилия по обнаружению.
Новый этап в деятельности киберпреступников
Интеграция возможностей RAT (Residential Tracer) и резидентных прокси-серверов свидетельствует о значительной эволюции в разработке мобильных угроз. Исторически прокси-ботнеты ассоциировались с скомпрометированными устройствами IoT или недорогим оборудованием Android, таким как смарт-телевизоры. Mirax представляет собой сдвиг в сторону внедрения этих возможностей в полнофункциональные банковские трояны, что значительно повышает как ценность каждой инфекции, так и универсальность операций злоумышленника.
Сочетая механизмы финансового мошенничества с прокси-инфраструктурой, Mirax позволяет злоумышленникам одновременно напрямую эксплуатировать жертв и использовать их устройства в качестве активов в более широких экосистемах киберпреступников.
