Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Mirax RAT

Mirax RAT

Med Mezo år Mobil skadlig programvara, Fjärradministrationsverktyg
Översätt till:

En nyligen identifierad fjärråtkomsttrojan för Android, Mirax, riktar sig aktivt mot spansktalande regioner genom storskaliga kampanjer i sociala medier. Hotaktörer har utnyttjat annonser på plattformar som Facebook, Instagram, Messenger och Threads och nått över 220 000 konton. Denna utbredda exponering visar på en kalkylerad ansträngning att utnyttja betrodda annonsekosystem för distribution av skadlig kod.

Avancerade fjärrkontrollfunktioner

Mirax fungerar som en mycket kapabel fjärråtkomsttrojan (RAT) som ger angripare full kontroll i realtid över komprometterade enheter. Dess funktionalitet sträcker sig utöver vanliga RAT-operationer och möjliggör övervakning och interaktion med infekterade system på en detaljerad nivå. Funktionerna inkluderar tangenttryckningsloggning, fotoexfiltrering, datainsamling på låsskärmen, kommandokörning, gränssnittsnavigering och kontinuerlig övervakning av användaraktivitet.

Dessutom kan den skadliga programvaran hämta och visa dynamiska HTML-överlägg från sin kommando-och-kontrollinfrastruktur (C2), vilket underlättar insamling av autentiseringsuppgifter genom vilseledande gränssnitt.

Att förvandla offer till proxy-infrastruktur

En utmärkande egenskap hos Mirax är dess förmåga att konvertera infekterade enheter till proxynoder för bostäder. Genom att integrera stöd för SOCKS5-protokollet tillsammans med Yamux-multiplexering etablerar den skadliga programvaran permanenta proxykanaler som dirigerar angripartrafik genom legitima användares IP-adresser. Denna funktion gör det möjligt för angripare att kringgå geolokaliseringsbegränsningar, undvika mekanismer för bedrägeriupptäckt och utföra skadliga aktiviteter som kontoövertaganden med förbättrad anonymitet och trovärdighet.

Skadlig kod som en tjänst med exklusiv åtkomst

Mirax marknadsförs som ett Malware-as-a-Service (MaaS)-erbjudande under namnet "Mirax Bot". Tillgång till den fullständiga versionen kostar 2 500 dollar för en tremånadersprenumeration. Samtidigt finns en reducerad variant tillgänglig för 1 750 dollar per månad, som saknar funktioner som proxyfunktionalitet och Google Play Protect-förbigångsmöjligheter. Till skillnad från typiska MaaS-plattformar är distributionen strikt kontrollerad och begränsad till en begränsad grupp affiliates, främst rysktalande aktörer med etablerade rykten i undergroundforum. Denna exklusivitet tyder på ett medvetet fokus på operativ säkerhet och hållbar kampanjeffektivitet.

Social manipulation genom skadlig reklam

Infektionskedjan är starkt beroende av vilseledande reklamkampanjer som lagras på Meta-plattformar. Dessa annonser marknadsför bedrägliga streamingtjänster som erbjuder gratis tillgång till direktsänd sport och film, vilket lockar användare att ladda ner skadliga appar. Flera annonser har identifierats, med starkt fokus på användare i Spanien. En enda kampanj, som lanserades den 6 april 2026, nådde nästan 191 000 användare, vilket visar omfattningen och effektiviteten av denna distributionsstrategi.

Sofistikerade leverans- och undvikandetekniker

Mirax använder en infektionsprocess i flera steg som är utformad för att undvika upptäckt och analys. Dropper-applikationer distribueras via webbsidor som tillämpar strikta åtkomstkontroller, vilket säkerställer att endast mobilanvändare kan fortsätta samtidigt som automatiserade säkerhetsskanningar blockeras. De skadliga APK-filerna lagras på GitHub och integreras ytterligare i den legitima infrastrukturen.

När den har körts uppmanas användare att aktivera installation från okända källor, vilket initierar en komplex nyttolastutvinningsprocess som är utformad för att kringgå sandlådor och säkerhetsverktyg. Skadlig programvara förklär sig sedan som ett videouppspelningsprogram och begär behörigheter för tillgänglighetstjänster, vilket ger den omfattande kontroll över enhetsåtgärder medan den körs tyst i bakgrunden. Ett falskt meddelande om installationsfel visas för att vilseleda användare, medan skadliga överlägg döljer pågående aktivitet.

Kampanjen har använt flera vilseledande applikationsidentiteter:

StreamTV (org.lgvvfj.pluscqpuj eller org.dawme.secure5ny) – fungerar som dropper

Videospelare (org.yjeiwd.plusdc71 eller org.azgaw.managergst1d) – levererar Mirax-nyttolasten

Kommando- och kontrollarkitektur och kommunikationskanaler

Mirax etablerar flera dubbelriktade kommunikationskanaler med sina C2-servrar, vilket möjliggör effektiv utförande av uppgifter och dataexfiltrering. Distinkta WebSocket-anslutningar används för olika operativa ändamål:

  • Port 8443 hanterar fjärråtkomsthantering och kommandokörning.
  • Port 8444 stöder fjärrströmning och dataexfiltrering.
  • Port 8445 (eller anpassade portar) underlättar SOCKS5-baserade proxyoperationer för bostäder.

Denna segmenterade arkitektur förbättrar tillförlitlighet och operativ flexibilitet samtidigt som den komplicerar detekteringsinsatser.

En ny fas i cyberkriminella operationer

Integreringen av RAT och proxyfunktioner för bostäder signalerar en betydande utveckling inom mobil hotdesign. Historiskt sett förknippades proxy-botnät med komprometterade IoT-enheter eller billig Android-hårdvara som smarta TV-apparater. Mirax representerar ett skifte mot att bädda in dessa funktioner i fullfjädrade banktrojaner, vilket dramatiskt ökar både värdet av varje infektion och mångsidigheten hos angriparnas operationer.

Genom att kombinera mekanismer för finansiella bedrägerier med proxyinfrastruktur gör Mirax det möjligt för hotande aktörer att samtidigt utnyttja offer direkt och utnyttja deras enheter som tillgångar i bredare cyberkriminella ekosystem.


Trendigt

Mest sedda

Läser in...