Миракс РАТ
Новоидентификовани тројански вирус за даљински приступ Андроиду, Mirax, активно циља регионе шпанског говорног подручја кроз велике кампање на друштвеним мрежама. Претње су искористиле огласе на платформама као што су Facebook, Instagram, Messenger и Threads, досежући преко 220.000 налога. Ова широко распрострањена изложеност указује на прорачунати напор да се искористе поуздани екосистеми за оглашавање за дистрибуцију злонамерног софтвера.
Преглед садржаја
Напредне могућности даљинског управљања
Миракс функционише као веома способан тројански вирус са даљинским приступом (RAT), пружајући нападачима потпуну контролу у реалном времену над угроженим уређајима. Његова функционалност се протеже даље од стандардних RAT операција, омогућавајући надзор и интеракцију са зараженим системима на грануларном нивоу. Могућности укључују евидентирање откуцаја тастера, крађу фотографија, прикупљање података са закључаног екрана, извршавање команди, навигацију интерфејсом и континуирано праћење активности корисника.
Поред тога, злонамерни софтвер може да преузима и приказује динамичке HTML преклапања из своје командне и контролне (C2) инфраструктуре, олакшавајући прикупљање акредитива путем обмањујућих интерфејса.
Претварање жртава у прокси инфраструктуру
Одличанствена карактеристика Mirax-а је његова способност да претвори заражене уређаје у стамбене прокси чворове. Укључивањем подршке за SOCKS5 протокол заједно са Yamux мултиплексирањем, злонамерни софтвер успоставља трајне прокси канале који усмеравају саобраћај нападача кроз легитимне корисничке IP адресе. Ова функционалност омогућава противницима да заобиђу ограничења геолокације, избегну механизме за откривање превара и обављају злонамерне активности као што је преузимање налога са побољшаном анонимношћу и кредибилитетом.
Злонамерни софтвер као услуга са ексклузивним приступом
Миракс се продаје као услуга злонамерног софтвера (MaaS) под називом „Mirax Bot“. Приступ верзији са пуном функционалношћу кошта 2.500 долара за тромесечну претплату. Истовремено, доступна је и смањена варијанта за 1.750 долара месечно, којој недостају функције као што су прокси функционалност и могућности заобилажења Google Play Protect-а. За разлику од типичних MaaS платформи, дистрибуција је строго контролисана и ограничена на ограничену групу сарадника, првенствено актера који говоре руски језик и имају утврђену репутацију на подземним форумима. Ова ексклузивност сугерише намерни фокус на оперативну безбедност и одрживу ефикасност кампање.
Социјални инжењеринг путем злонамерног оглашавања
Ланац инфекције се у великој мери ослања на обмањујуће рекламне кампање које се налазе на Мета платформама. Ове рекламе промовишу лажне стриминг сервисе који нуде бесплатан приступ спортским преносима и филмовима уживо, подстичући кориснике да преузимају злонамерне апликације. Идентификовано је више реклама, са снажним фокусом на кориснике у Шпанији. Само једна кампања, покренута 6. априла 2026. године, досегла је скоро 191.000 корисника, демонстрирајући обим и ефикасност ове стратегије дистрибуције.
Софистициране технике испоруке и избегавања
Миракс користи вишестепени процес инфекције осмишљен да избегне откривање и анализу. Дропер апликације се дистрибуирају путем веб страница које спроводе строге провере приступа, осигуравајући да само мобилни корисници могу да наставе, док блокирају аутоматизована безбедносна скенирања. Злонамерне APK датотеке се хостују на ГитХабу, додатно се стапајући са легитимном инфраструктуром.
Једном покренут, дропер подстиче кориснике да омогуће инсталацију из непознатих извора, покрећући сложен процес екстракције корисног терета осмишљен да заобиђе алате за заштиту од заштите и безбедност. Злонамерни софтвер се затим маскира у апликацију за репродукцију видеа и захтева дозволе за услугу приступачности, што му даје широку контролу над радом уређаја док тихо ради у позадини. Приказује се лажна порука о неуспеху инсталације како би се корисници заварали, док злонамерни слојеви прикривају текућу активност.
Кампања је користила неколико обмањујућих идентитета апликација:
StreamTV (org.lgvvfj.pluscqpuj или org.dawme.secure5ny) – функционише као дроппер
Видео репродуктор (org.yjeiwd.plusdc71 или org.azgaw.managergst1d) – испорука Mirax корисног терета
Архитектура командовања и контроле и комуникациони канали
Миракс успоставља више двосмерних комуникационих канала са својим C2 серверима, омогућавајући ефикасно извршавање задатака и извлачење података. Одвојене WebSocket везе се користе за различите оперативне сврхе:
- Порт 8443 обрађује управљање даљинским приступом и извршавање команди.
- Порт 8444 подржава даљинско стримовање и ексфилтрацију података.
- Порт 8445 (или прилагођени портови) олакшава SOCKS5-базиране стамбене прокси операције.
Ова сегментирана архитектура повећава поузданост и оперативну флексибилност, а истовремено компликује напоре детекције.
Нова фаза у сајбер криминалним операцијама
Интеграција RAT-а и могућности резиденцијалних прокси сервера сигнализира значајну еволуцију у дизајну мобилних претњи. Историјски гледано, прокси ботнети су били повезани са компромитованим IoT уређајима или јефтиним Андроид хардвером као што су паметни телевизори. Mirax представља помак ка уграђивању ових могућности у потпуно функционалне банкарске тројанце, драматично повећавајући и вредност сваке инфекције и свестраност операција нападача.
Комбиновањем механизама финансијских превара са прокси инфраструктуром, Миракс омогућава актерима претњи да истовремено директно експлоатишу жртве и искористе њихове уређаје као средства у ширим сајбер криминалним екосистемима.
