Mirax PODGANA
Novo odkriti trojanski konj Mirax, ki uporablja oddaljeni dostop do Androida, aktivno cilja na špansko govoreče regije z obsežnimi kampanjami na družbenih omrežjih. Grožnje so izkoristile oglase na platformah, kot so Facebook, Instagram, Messenger in Threads, in dosegle več kot 220.000 računov. Ta razširjena izpostavljenost kaže na premišljeno prizadevanje za izkoriščanje zaupanja vrednih oglaševalskih ekosistemov za distribucijo zlonamerne programske opreme.
Kazalo
Napredne zmogljivosti daljinskega upravljanja
Mirax deluje kot zelo zmogljiv trojanski konj za oddaljeni dostop (RAT), ki napadalcem omogoča popoln nadzor nad okuženimi napravami v realnem času. Njegova funkcionalnost presega standardne operacije RAT in omogoča nadzor in interakcijo z okuženimi sistemi na granularni ravni. Med zmogljivostmi so beleženje pritiskov tipk, izbruh fotografij, zbiranje podatkov o zaklenjenem zaslonu, izvajanje ukazov, navigacija po vmesniku in stalno spremljanje dejavnosti uporabnikov.
Poleg tega lahko zlonamerna programska oprema pridobi in prikaže dinamične prekrivne elemente HTML iz svoje infrastrukture za upravljanje in nadzor (C2), kar olajša pridobivanje poverilnic prek zavajajočih vmesnikov.
Spreminjanje žrtev v posredniško infrastrukturo
Značilnost Miraxa je njegova sposobnost pretvorbe okuženih naprav v stanovanjska proxy vozlišča. Z vključitvijo podpore za protokol SOCKS5 skupaj z multipleksiranjem Yamux zlonamerna programska oprema vzpostavi trajne proxy kanale, ki usmerjajo promet napadalcev prek legitimnih uporabniških IP-naslovov. Ta funkcionalnost omogoča nasprotnikom, da zaobidejo geolokacijske omejitve, se izognejo mehanizmom za odkrivanje goljufij in izvajajo zlonamerne dejavnosti, kot so prevzemi računov, z večjo anonimnostjo in verodostojnostjo.
Zlonamerna programska oprema kot storitev z izključnim dostopom
Mirax se trži kot ponudba Malware-as-a-Service (MaaS) pod imenom »Mirax Bot«. Dostop do polno opremljene različice stane 2500 dolarjev za trimesečno naročnino. Hkrati je na voljo tudi zmanjšana različica za 1750 dolarjev na mesec, ki ji manjkajo funkcije, kot sta funkcionalnost proxyja in možnosti obhoda Google Play Protect. Za razliko od tipičnih platform MaaS je distribucija strogo nadzorovana in omejena na omejeno skupino podružnic, predvsem rusko govorečih akterjev z uveljavljenim ugledom na podzemnih forumih. Ta ekskluzivnost kaže na namerno osredotočenost na operativno varnost in trajnostno učinkovitost kampanje.
Socialni inženiring z zlonamernim oglaševanjem
Veriga okužbe se močno zanaša na zavajajoče oglaševalske akcije, ki gostujejo na platformah Meta. Ti oglasi promovirajo goljufive storitve pretakanja, ki ponujajo brezplačen dostop do športnih prenosov in filmov v živo, ter uporabnike spodbujajo k prenosu zlonamernih aplikacij. Opredeljenih je bilo več oglasov, ki so bili močno osredotočeni na uporabnike v Španiji. Samo ena kampanja, ki se je začela 6. aprila 2026, je dosegla skoraj 191.000 uporabnikov, kar dokazuje obseg in učinkovitost te distribucijske strategije.
Sofisticirane tehnike dostave in izogibanja
Mirax uporablja večstopenjski postopek okužbe, zasnovan tako, da se izogne odkrivanju in analizi. Aplikacije za spuščanje se distribuirajo prek spletnih strani, ki izvajajo stroga preverjanja dostopa, kar zagotavlja, da lahko nadaljujejo le mobilni uporabniki, hkrati pa blokirajo avtomatizirane varnostne preglede. Zlonamerne datoteke APK so gostovane na GitHubu in se tako še bolj zlijejo z legitimno infrastrukturo.
Ko se program zažene, ga pozove, naj omogoči namestitev iz neznanih virov, s čimer se sproži zapleten postopek ekstrakcije koristnega tovora, ki je zasnovan tako, da zaobide orodja za preprečevanje onesnaževanja in varnost. Zlonamerna programska oprema se nato prikrije kot aplikacija za predvajanje videoposnetkov in zahteva dovoljenja za dostopnost, kar ji omogoča obsežen nadzor nad delovanjem naprave, medtem ko tiho deluje v ozadju. Prikaže se lažno sporočilo o neuspeli namestitvi, da se uporabniki zavedejo, zlonamerni prekrivni elementi pa prikrijejo trenutno aktivnost.
Kampanja je uporabila več zavajajočih identitet aplikacij:
StreamTV (org.lgvvfj.pluscqpuj ali org.dawme.secure5ny) – deluje kot kapljalnik
Video predvajalnik (org.yjeiwd.plusdc71 ali org.azgaw.managergst1d) – dostava koristnega tovora Mirax
Arhitektura vodenja in nadzora ter komunikacijski kanali
Mirax s svojimi strežniki C2 vzpostavi več dvosmernih komunikacijskih kanalov, kar omogoča učinkovito izvajanje nalog in izvlečenje podatkov. Različne povezave WebSocket se uporabljajo za različne operativne namene:
- Vrata 8443 obravnavajo upravljanje oddaljenega dostopa in izvajanje ukazov.
- Vrata 8444 podpirajo oddaljeno pretakanje in izvlečenje podatkov.
- Vrata 8445 (ali vrata po meri) omogočajo delovanje stanovanjskih proxy strežnikov, ki temeljijo na SOCKS5.
Ta segmentirana arhitektura povečuje zanesljivost in operativno prilagodljivost, hkrati pa otežuje odkrivanje.
Nova faza v kibernetskih kriminalnih operacijah
Integracija zmogljivosti RAT in stanovanjskih proxy strežnikov kaže na pomemben razvoj v oblikovanju mobilnih groženj. V preteklosti so bili proxy botneti povezani z ogroženimi napravami interneta stvari ali poceni strojno opremo Android, kot so pametni televizorji. Mirax predstavlja premik k vdelavi teh zmogljivosti v polno opremljene bančne trojance, kar dramatično povečuje tako vrednost vsake okužbe kot vsestranskost napadalčevih operacij.
Z združevanjem mehanizmov finančnih goljufij s posredniško infrastrukturo Mirax akterjem groženj omogoča, da hkrati neposredno izkoriščajo žrtve in njihove naprave uporabijo kot sredstva v širših ekosistemih kibernetske kriminalitete.
