Mirax RAT
Novo identifikovaný trójsky kôň Mirax, ktorý prenáša vzdialený prístup k systému Android, aktívne cieli na španielsky hovoriace regióny prostredníctvom rozsiahlych kampaní na sociálnych sieťach. Útočníci využívajú reklamy na platformách ako Facebook, Instagram, Messenger a Threads a oslovujú viac ako 220 000 účtov. Toto rozsiahle odhalenie poukazuje na premyslenú snahu zneužiť dôveryhodné reklamné ekosystémy na distribúciu malvéru.
Obsah
Pokročilé možnosti diaľkového ovládania
Mirax funguje ako vysoko výkonný trójsky kôň pre vzdialený prístup (RAT), ktorý útočníkom poskytuje plnú kontrolu nad napadnutými zariadeniami v reálnom čase. Jeho funkcionalita presahuje štandardné operácie RAT a umožňuje sledovanie a interakciu s infikovanými systémami na granulárnej úrovni. Medzi jeho schopnosti patrí zaznamenávanie stlačení klávesov, exfiltrácia fotografií, zhromažďovanie údajov z uzamknutej obrazovky, vykonávanie príkazov, navigácia v rozhraní a nepretržité monitorovanie aktivity používateľov.
Okrem toho dokáže malvér načítať a zobraziť dynamické HTML prekrytia zo svojej infraštruktúry Command-and-Control (C2), čo uľahčuje získavanie poverení prostredníctvom klamlivých rozhraní.
Premena obetí na proxy infraštruktúru
Charakteristickým znakom systému Mirax je jeho schopnosť premeniť infikované zariadenia na rezidenčné proxy uzly. Vďaka integrácii podpory protokolu SOCKS5 spolu s multiplexovaním Yamux vytvára malvér perzistentné proxy kanály, ktoré smerujú prevádzku útočníka cez legitímne IP adresy používateľov. Táto funkcia umožňuje útočníkom obísť geolokačné obmedzenia, vyhnúť sa mechanizmom detekcie podvodov a vykonávať škodlivé aktivity, ako napríklad prevzatie kontroly nad účtami, so zvýšenou anonymitou a dôveryhodnosťou.
Škodlivý softvér ako služba s exkluzívnym prístupom
Mirax sa predáva ako ponuka Malware-as-a-Service (MaaS) pod názvom „Mirax Bot“. Prístup k plne funkčnej verzii stojí 2 500 dolárov za trojmesačné predplatné. Zároveň je k dispozícii redukovaná verzia za 1 750 dolárov mesačne, ktorá neobsahuje funkcie, ako je proxy a možnosti obídenia ochrany Google Play Protect. Na rozdiel od typických platforiem MaaS je distribúcia prísne kontrolovaná a obmedzená na obmedzenú skupinu partnerov, predovšetkým rusky hovoriacich aktérov so zavedenou reputáciou na podzemných fórach. Táto exkluzivita naznačuje zámerné zameranie na prevádzkovú bezpečnosť a trvalú účinnosť kampane.
Sociálne inžinierstvo prostredníctvom škodlivej reklamy
Infekčný reťazec sa vo veľkej miere spolieha na klamlivé reklamné kampane hostované na platformách Meta. Tieto reklamy propagujú podvodné streamovacie služby ponúkajúce bezplatný prístup k živým športovým prenosom a filmom a lákajú používateľov na sťahovanie škodlivých aplikácií. Bolo identifikovaných viacero reklám so silným zameraním na používateľov v Španielsku. Len jedna kampaň, spustená 6. apríla 2026, oslovila takmer 191 000 používateľov, čo demonštruje rozsah a účinnosť tejto distribučnej stratégie.
Sofistikované techniky doručovania a úniku
Mirax využíva viacstupňový proces infikovania, ktorý je navrhnutý tak, aby sa vyhol detekcii a analýze. Dropper aplikácie sú distribuované prostredníctvom webových stránok, ktoré vynucujú prísne kontroly prístupu, čím zabezpečujú, že môžu pokračovať iba mobilní používatelia, a zároveň blokujú automatizované bezpečnostné kontroly. Škodlivé súbory APK sú hostované na GitHub, čím sa ďalej spájajú s legitímnou infraštruktúrou.
Po spustení dropper vyzve používateľov, aby povolili inštaláciu z neznámych zdrojov, čím sa spustí zložitý proces extrakcie dát, ktorý je navrhnutý tak, aby obišiel sandbox a bezpečnostné nástroje. Malvér sa potom maskuje ako aplikácia na prehrávanie videa a vyžaduje povolenia služby prístupnosti, čo mu poskytuje rozsiahlu kontrolu nad operáciami zariadenia, pričom beží ticho na pozadí. Zobrazí sa falošná správa o zlyhaní inštalácie, ktorá zavádza používateľov, zatiaľ čo škodlivé prekrytia maskujú prebiehajúcu aktivitu.
Kampaň využila niekoľko klamlivých identít aplikácií:
StreamTV (org.lgvvfj.pluscqpuj alebo org.dawme.secure5ny) – funguje ako dropper
Prehrávač videa (org.yjeiwd.plusdc71 alebo org.azgaw.managergst1d) – doručenie užitočného zaťaženia Mirax
Architektúra velenia a riadenia a komunikačné kanály
Spoločnosť Mirax vytvára so svojimi servermi C2 viacero obojsmerných komunikačných kanálov, čo umožňuje efektívne vykonávanie úloh a exfiltráciu dát. Na rôzne operačné účely sa používajú odlišné pripojenia WebSocket:
- Port 8443 spracováva správu vzdialeného prístupu a vykonávanie príkazov.
- Port 8444 podporuje vzdialené streamovanie a exfiltráciu dát.
- Port 8445 (alebo vlastné porty) umožňuje prevádzku rezidenčných proxy serverov založených na protokole SOCKS5.
Táto segmentovaná architektúra zvyšuje spoľahlivosť a prevádzkovú flexibilitu a zároveň komplikuje detekčné úsilie.
Nová fáza v kybernetických zločineckých operáciách
Integrácia RAT a funkcií rezidenčných proxy serverov signalizuje významný vývoj v dizajne mobilných hrozieb. Historicky boli proxy botnety spájané s napadnutými zariadeniami internetu vecí alebo lacným hardvérom Android, ako sú inteligentné televízory. Mirax predstavuje posun smerom k integrácii týchto funkcií do plnohodnotných bankových trójskych koní, čím dramaticky zvyšuje hodnotu každej infekcie aj všestrannosť operácií útočníka.
Kombináciou mechanizmov finančných podvodov s proxy infraštruktúrou umožňuje Mirax aktérom ohrozenia súčasne priamo zneužívať obete a využívať ich zariadenia ako aktíva v širších ekosystémoch kybernetickej kriminality.
