Mirax RAT
Një trojan i ri i identifikuar për Android me akses në distancë, Mirax, po synon në mënyrë aktive rajonet spanjishtfolëse përmes fushatave në shkallë të gjerë në mediat sociale. Aktorët kërcënues kanë shfrytëzuar reklamat në platforma të tilla si Facebook, Instagram, Messenger dhe Threads, duke arritur mbi 220,000 llogari. Ky ekspozim i përhapur nxjerr në pah një përpjekje të llogaritur për të shfrytëzuar ekosistemet e besueshme të reklamave për shpërndarjen e programeve keqdashëse.
Tabela e Përmbajtjes
Aftësi të Avancuara të Kontrollit në Distancë
Mirax vepron si një Trojan me Qasje në Distancë (RAT) shumë i aftë, duke u dhënë sulmuesve kontroll të plotë dhe në kohë reale mbi pajisjet e kompromentuara. Funksionaliteti i tij shtrihet përtej operacioneve standarde RAT, duke mundësuar mbikëqyrje dhe ndërveprim me sistemet e infektuara në një nivel të detajuar. Aftësitë përfshijnë regjistrimin e shtypjes së tasteve, nxjerrjen e fotove, mbledhjen e të dhënave të ekranit të bllokuar, ekzekutimin e komandave, navigimin e ndërfaqes dhe monitorimin e vazhdueshëm të aktivitetit të përdoruesit.
Për më tepër, programi keqdashës mund të rikuperojë dhe shfaqë mbivendosje dinamike HTML nga infrastruktura e tij e Komandës dhe Kontrollit (C2), duke lehtësuar mbledhjen e kredencialeve përmes ndërfaqeve mashtruese.
Shndërrimi i viktimave në infrastrukturë proxy
Një karakteristikë përcaktuese e Mirax është aftësia e tij për të konvertuar pajisjet e infektuara në nyje proxy rezidenciale. Duke përfshirë mbështetjen e protokollit SOCKS5 së bashku me multipleksimin Yamux, malware krijon kanale proxy të vazhdueshme që drejtojnë trafikun e sulmuesit përmes adresave IP të përdoruesve legjitimë. Ky funksionalitet u mundëson kundërshtarëve të anashkalojnë kufizimet e gjeolokacionit, të shmangin mekanizmat e zbulimit të mashtrimit dhe të kryejnë aktivitete dashakeqe, të tilla si marrja e llogarive, me anonimitet dhe besueshmëri të shtuar.
Malware-si-shërbim me akses ekskluziv
Mirax shitet si një ofertë Malware-as-a-Service (MaaS) nën emrin 'Mirax Bot'. Qasja në versionin me funksione të plota kushton 2,500 dollarë për një abonim tremujor. Në të njëjtën kohë, një variant i reduktuar është i disponueshëm për 1,750 dollarë në muaj, të cilit i mungojnë funksione të tilla si funksionaliteti i proxy-t dhe aftësitë e anashkalimit të Google Play Protect. Ndryshe nga platformat tipike MaaS, shpërndarja kontrollohet fort dhe kufizohet në një grup të kufizuar bashkëpunëtorësh, kryesisht aktorë rusishtfolës me reputacion të vendosur në forume nëntokësore. Ky ekskluzivitet sugjeron një fokus të qëllimshëm në sigurinë operacionale dhe efektivitetin e qëndrueshëm të fushatës.
Inxhinieri Sociale Përmes Reklamimit Dashakeq
Zinxhiri i infeksionit mbështetet shumë në fushatat mashtruese reklamuese të hostuara në platformat Meta. Këto reklama promovojnë shërbime mashtruese transmetimi që ofrojnë akses falas në sporte dhe filma të drejtpërdrejtë, duke i joshur përdoruesit të shkarkojnë aplikacione keqdashëse. Janë identifikuar reklama të shumta, me një fokus të fortë te përdoruesit në Spanjë. Vetëm një fushatë, e nisur më 6 prill 2026, arriti gati 191,000 përdorues, duke demonstruar shkallën dhe efektivitetin e kësaj strategjie shpërndarjeje.
Teknika të sofistikuara të shpërndarjes dhe shmangies
Mirax përdor një proces infektimi me shumë faza, i projektuar për të shmangur zbulimin dhe analizën. Aplikacionet Dropper shpërndahen nëpërmjet faqeve të internetit që zbatojnë kontrolle të rrepta aksesi, duke siguruar që vetëm përdoruesit e celularëve mund të vazhdojnë ndërsa bllokojnë skanimet automatike të sigurisë. Skedarët keqdashës APK mbahen në GitHub, duke u përzier më tej me infrastrukturën legjitime.
Pasi ekzekutohet, dropper u kërkon përdoruesve të aktivizojnë instalimin nga burime të panjohura, duke filluar një proces kompleks nxjerrjeje të ngarkesës së dobishme të projektuar për të anashkaluar mjetet e sandbox-it dhe të sigurisë. Malware-i më pas maskohet si një aplikacion për luajtjen e videos dhe kërkon leje për shërbimin e aksesueshmërisë, duke i dhënë kontroll të gjerë mbi operacionet e pajisjes ndërsa funksionon në heshtje në sfond. Shfaqet një mesazh i rremë dështimi i instalimit për të mashtruar përdoruesit, ndërsa mbivendosjet keqdashëse fshehin aktivitetin e vazhdueshëm.
Fushata ka përdorur disa identitete mashtruese aplikacionesh:
StreamTV (org.lgvvfj.pluscqpuj ose org.dawme.secure5ny) – funksionon si pikatore
Riprodhues videoje (org.yjeiwd.plusdc71 ose org.azgaw.managergst1d) – duke ofruar ngarkesën e dobishme të Mirax
Arkitektura e Komandës dhe Kontrollit dhe Kanalet e Komunikimit
Mirax krijon kanale të shumta komunikimi dypalëshe me serverat e saj C2, duke mundësuar ekzekutimin efikas të detyrave dhe nxjerrjen e të dhënave. Lidhjet e dallueshme WebSocket përdoren për qëllime të ndryshme operative:
- Porta 8443 merret me menaxhimin e aksesit në distancë dhe ekzekutimin e komandave.
- Porta 8444 mbështet transmetimin në distancë dhe nxjerrjen e të dhënave.
- Porta 8445 (ose portat e personalizuara) lehtëson operacionet e proxy-t rezidencial të bazuara në SOCKS5.
Kjo arkitekturë e segmentuar rrit besueshmërinë dhe fleksibilitetin operativ, ndërkohë që ndërlikon përpjekjet e zbulimit.
Një fazë e re në operacionet kriminale kibernetike
Integrimi i aftësive të RAT dhe proxy-t rezidencial sinjalizon një evolucion të rëndësishëm në dizajnin e kërcënimeve mobile. Historikisht, botnet-et proxy shoqëroheshin me pajisje të kompromentuara IoT ose harduer Android me kosto të ulët, siç janë televizorët inteligjentë. Mirax përfaqëson një ndryshim drejt integrimit të këtyre aftësive brenda trojanëve bankarë me funksione të plota, duke rritur ndjeshëm si vlerën e secilit infeksion ashtu edhe shkathtësinë e operacioneve të sulmuesit.
Duke kombinuar mekanizmat e mashtrimit financiar me infrastrukturën proxy, Mirax u mundëson aktorëve kërcënues të shfrytëzojnë njëkohësisht viktimat drejtpërdrejt dhe të shfrytëzojnë pajisjet e tyre si asete në ekosistemet më të gjera të krimit kibernetik.
