Mirax RAT
Isang bagong natukoy na Android remote access trojan, ang Mirax, ang aktibong tinatarget ang mga rehiyong nagsasalita ng Espanyol sa pamamagitan ng malawakang mga kampanya sa social media. Ginamit ng mga threat actor ang mga advertisement sa mga platform tulad ng Facebook, Instagram, Messenger, at Threads, na umabot sa mahigit 220,000 account. Itinatampok ng malawakang pagkakalantad na ito ang isang kalkuladong pagsisikap na samantalahin ang mga pinagkakatiwalaang ecosystem ng advertising para sa pamamahagi ng malware.
Talaan ng mga Nilalaman
Mga Advanced na Kakayahan sa Remote Control
Ang Mirax ay gumagana bilang isang lubos na may kakayahang Remote Access Trojan (RAT), na nagbibigay sa mga umaatake ng ganap at real-time na kontrol sa mga nakompromisong device. Ang functionality nito ay higit pa sa karaniwang mga operasyon ng RAT, na nagbibigay-daan sa pagsubaybay at pakikipag-ugnayan sa mga nahawaang system sa isang detalyadong antas. Kabilang sa mga kakayahan ang pag-log ng keystroke, photo exfiltration, pagkolekta ng data ng lock screen, pagpapatupad ng command, pag-navigate sa interface, at patuloy na pagsubaybay sa aktibidad ng user.
Bukod pa rito, maaaring makuha at maipakita ng malware ang mga dynamic na HTML overlay mula sa Command-and-Control (C2) infrastructure nito, na nagpapadali sa pagkuha ng kredensyal sa pamamagitan ng mga mapanlinlang na interface.
Paggawa ng mga Biktima bilang Proxy Infrastructure
Isang natatanging katangian ng Mirax ay ang kakayahang i-convert ang mga nahawaang device sa mga residential proxy node. Sa pamamagitan ng pagsasama ng suporta sa protocol ng SOCKS5 kasama ng Yamux multiplexing, ang malware ay nagtatatag ng mga persistent proxy channel na nagruruta ng trapiko ng attacker sa pamamagitan ng mga lehitimong IP address ng user. Ang functionality na ito ay nagbibigay-daan sa mga kalaban na malampasan ang mga paghihigpit sa geolocation, maiwasan ang mga mekanismo ng pagtuklas ng pandaraya, at magsagawa ng mga malisyosong aktibidad tulad ng mga account takeovers na may pinahusay na anonymity at kredibilidad.
Malware-bilang-isang-Serbisyo na may Eksklusibong Pag-access
Ang Mirax ay ibinebenta bilang isang alok na Malware-as-a-Service (MaaS) sa ilalim ng pangalang 'Mirax Bot.' Ang access sa kumpletong bersyon ay nagkakahalaga ng $2,500 para sa tatlong-buwang subscription. Kasabay nito, may available na pinababang variant sa halagang $1,750 bawat buwan, na kulang sa mga tampok tulad ng proxy functionality at mga kakayahan sa bypass ng Google Play Protect. Hindi tulad ng mga karaniwang platform ng MaaS, ang pamamahagi ay mahigpit na kinokontrol at nililimitahan sa isang limitadong grupo ng mga kaakibat, pangunahin na mga aktor na nagsasalita ng Ruso na may matatag na reputasyon sa mga underground forum. Ang eksklusibong ito ay nagmumungkahi ng isang sinasadyang pagtuon sa seguridad sa operasyon at napapanatiling bisa ng kampanya.
Social Engineering sa pamamagitan ng Malisyosong Pag-aanunsyo
Ang kadena ng impeksyon ay lubos na umaasa sa mga mapanlinlang na kampanya sa advertising na naka-host sa mga platform ng Meta. Ang mga patalastas na ito ay nagtataguyod ng mga mapanlinlang na serbisyo sa streaming na nag-aalok ng libreng access sa mga live na sports at pelikula, na umaakit sa mga gumagamit na mag-download ng mga malisyosong application. Maraming mga ad ang natukoy, na may malakas na pagtuon sa mga gumagamit sa Espanya. Isang kampanya lamang, na inilunsad noong Abril 6, 2026, ay umabot sa halos 191,000 na mga gumagamit, na nagpapakita ng laki at pagiging epektibo ng diskarte sa pamamahagi na ito.
Sopistikadong mga Teknik sa Paghahatid at Pag-iwas
Gumagamit ang Mirax ng proseso ng impeksyon na may maraming yugto na idinisenyo upang maiwasan ang pagtuklas at pagsusuri. Ang mga aplikasyon ng Dropper ay ipinamamahagi sa pamamagitan ng mga web page na nagpapatupad ng mahigpit na pagsusuri sa pag-access, na tinitiyak na tanging ang mga gumagamit ng mobile ang makakapagpatuloy habang hinaharangan ang mga awtomatikong pag-scan sa seguridad. Ang mga malisyosong APK file ay naka-host sa GitHub, na lalong humahalo sa lehitimong imprastraktura.
Kapag naisagawa na, hihingin ng dropper sa mga user na paganahin ang pag-install mula sa mga hindi kilalang pinagmulan, na magsisimula ng isang kumplikadong proseso ng pagkuha ng payload na ginawa upang malampasan ang sandboxing at mga tool sa seguridad. Pagkatapos, ang malware ay magbabalatkayo bilang isang application sa pag-playback ng video at hihingi ng mga pahintulot sa serbisyo ng accessibility, na magbibigay dito ng malawak na kontrol sa mga operasyon ng device habang tahimik na tumatakbo sa background. Isang pekeng mensahe ng pagkabigo sa pag-install ang ipinapakita upang linlangin ang mga user, habang itinatago ng mga malisyosong overlay ang patuloy na aktibidad.
Gumamit ang kampanya ng ilang mapanlinlang na pagkakakilanlan ng aplikasyon:
StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – gumagana bilang dropper
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivering the Mirax payload
Arkitektura ng Command-and-Control at mga Channel ng Komunikasyon
Nagtatatag ang Mirax ng maraming bidirectional na channel ng komunikasyon gamit ang mga C2 server nito, na nagbibigay-daan sa mahusay na pagpapatupad ng gawain at pag-exfilt ng data. Ang magkakaibang koneksyon sa WebSocket ay ginagamit para sa iba't ibang layunin sa pagpapatakbo:
- Ang Port 8443 ang humahawak sa pamamahala ng malayuang pag-access at pagpapatupad ng utos.
- Sinusuportahan ng Port 8444 ang remote streaming at data exfiltration.
- Pinapadali ng Port 8445 (o mga custom port) ang mga operasyon ng residential proxy na nakabatay sa SOCKS5.
Pinahuhusay ng segmented architecture na ito ang pagiging maaasahan at kakayahang umangkop sa operasyon habang pinapakomplikado ang mga pagsisikap sa pag-detect.
Isang Bagong Yugto sa mga Operasyong Cybercriminal
Ang pagsasama ng mga kakayahan ng RAT at residential proxy ay hudyat ng isang makabuluhang ebolusyon sa disenyo ng mga banta sa mobile. Ayon sa kasaysayan, ang mga proxy botnet ay iniuugnay sa mga nakompromisong IoT device o mga murang Android hardware tulad ng mga smart TV. Ang Mirax ay kumakatawan sa isang pagbabago patungo sa pag-embed ng mga kakayahang ito sa loob ng mga kumpletong tampok na banking trojan, na lubhang nagpapataas sa parehong halaga ng bawat impeksyon at sa versatility ng mga operasyon ng attacker.
Sa pamamagitan ng pagsasama-sama ng mga mekanismo ng pandaraya sa pananalapi at proxy infrastructure, binibigyang-daan ng Mirax ang mga aktor ng banta na sabay-sabay na pagsamantalahan ang mga biktima nang direkta at gamitin ang kanilang mga device bilang mga asset sa mas malawak na cybercriminal ecosystem.
