Mirax RAT
Yeni tespit edilen bir Android uzaktan erişim truva atı olan Mirax, geniş çaplı sosyal medya kampanyaları aracılığıyla İspanyolca konuşulan bölgeleri aktif olarak hedef alıyor. Tehdit aktörleri, Facebook, Instagram, Messenger ve Threads gibi platformlardaki reklamlardan yararlanarak 220.000'den fazla hesaba ulaştı. Bu yaygın yayılım, kötü amaçlı yazılım dağıtımı için güvenilir reklam ekosistemlerinden yararlanmaya yönelik hesaplı bir çabayı ortaya koyuyor.
İçindekiler
Gelişmiş Uzaktan Kumanda Özellikleri
Mirax, son derece yetenekli bir Uzaktan Erişim Truva Atı (RAT) olarak çalışır ve saldırganlara ele geçirilen cihazlar üzerinde tam ve gerçek zamanlı kontrol sağlar. İşlevselliği standart RAT işlemlerinin ötesine geçerek, enfekte sistemlerle ayrıntılı düzeyde gözetim ve etkileşim olanağı sunar. Yetenekleri arasında tuş vuruşu kaydı, fotoğraf sızdırma, kilit ekranı veri toplama, komut yürütme, arayüz navigasyonu ve kullanıcı etkinliğinin sürekli izlenmesi yer alır.
Ayrıca, kötü amaçlı yazılım, komuta ve kontrol (C2) altyapısından dinamik HTML katmanlarını alıp görüntüleyebilir ve aldatıcı arayüzler aracılığıyla kimlik bilgilerinin ele geçirilmesini kolaylaştırabilir.
Kurbanları Vekil Altyapıya Dönüştürmek
Mirax'ın en belirleyici özelliklerinden biri, bulaştığı cihazları yerleşik proxy düğümlerine dönüştürme yeteneğidir. SOCKS5 protokol desteğini Yamux çoklama ile birleştirerek, kötü amaçlı yazılım, saldırgan trafiğini meşru kullanıcı IP adresleri üzerinden yönlendiren kalıcı proxy kanalları oluşturur. Bu işlevsellik, saldırganların coğrafi konum kısıtlamalarını atlatmalarına, dolandırıcılık tespit mekanizmalarından kaçınmalarına ve hesap ele geçirme gibi kötü amaçlı faaliyetleri gelişmiş anonimlik ve güvenilirlikle gerçekleştirmelerine olanak tanır.
Özel Erişimli Kötü Amaçlı Yazılım Hizmeti
Mirax, 'Mirax Bot' adı altında bir Kötü Amaçlı Yazılım Hizmeti (MaaS) olarak pazarlanmaktadır. Tam özellikli sürüme erişim, üç aylık abonelik için 2.500 dolara mal olmaktadır. Aynı zamanda, proxy işlevselliği ve Google Play Protect atlama yetenekleri gibi özelliklerden yoksun, azaltılmış bir sürüm aylık 1.750 dolara sunulmaktadır. Tipik MaaS platformlarının aksine, dağıtım sıkı bir şekilde kontrol edilmekte ve çoğunlukla yeraltı forumlarında yerleşik itibara sahip Rusça konuşan aktörlerden oluşan sınırlı bir ortak grubuyla sınırlandırılmaktadır. Bu ayrıcalık, operasyonel güvenliğe ve sürdürülebilir kampanya etkinliğine kasıtlı bir odaklanmayı göstermektedir.
Kötü Amaçlı Reklamlar Yoluyla Sosyal Mühendislik
Bulaşma zinciri büyük ölçüde Meta platformlarında barındırılan aldatıcı reklam kampanyalarına dayanmaktadır. Bu reklamlar, canlı spor ve filmlere ücretsiz erişim sunan sahte yayın hizmetlerini tanıtarak kullanıcıları kötü amaçlı uygulamaları indirmeye teşvik etmektedir. Özellikle İspanya'daki kullanıcılara odaklanan çok sayıda reklam tespit edilmiştir. Sadece 6 Nisan 2026'da başlatılan bir kampanya bile yaklaşık 191.000 kullanıcıya ulaşarak bu dağıtım stratejisinin ölçeğini ve etkinliğini göstermiştir.
Gelişmiş Teslimat ve Kaçınma Teknikleri
Mirax, tespit ve analizden kaçınmak için tasarlanmış çok aşamalı bir enfeksiyon süreci kullanır. Dropper uygulamaları, sıkı erişim kontrolleri uygulayan web sayfaları aracılığıyla dağıtılır ve yalnızca mobil kullanıcıların devam edebilmesini sağlarken otomatik güvenlik taramalarını engeller. Kötü amaçlı APK dosyaları GitHub'da barındırılır ve meşru altyapıya daha da karışır.
Çalıştırıldıktan sonra, zararlı yazılım kullanıcılardan bilinmeyen kaynaklardan yüklemeyi etkinleştirmelerini ister ve sanal alan ve güvenlik araçlarını atlatmak için tasarlanmış karmaşık bir zararlı yazılım çıkarma sürecini başlatır. Ardından zararlı yazılım, kendisini bir video oynatma uygulaması olarak gizler ve erişilebilirlik hizmeti izinleri ister; bu da arka planda sessizce çalışırken cihaz işlemleri üzerinde kapsamlı kontrol sağlar. Kullanıcıları yanıltmak için sahte bir yükleme hatası mesajı görüntülenirken, kötü amaçlı katmanlar devam eden etkinliği gizler.
Kampanyada çeşitli yanıltıcı başvuru kimlikleri kullanılmıştır:
StreamTV (org.lgvvfj.pluscqpuj veya org.dawme.secure5ny) – dropper olarak işlev görüyor.
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergist1d) – delivering the Mirax payload
Komuta ve Kontrol Mimarisi ve İletişim Kanalları
Mirax, C2 sunucularıyla birden fazla çift yönlü iletişim kanalı kurarak verimli görev yürütme ve veri sızdırmayı mümkün kılar. Farklı operasyonel amaçlar için ayrı WebSocket bağlantıları kullanılır:
- 8443 numaralı port, uzaktan erişim yönetimini ve komut yürütmeyi gerçekleştirir.
- 8444 numaralı port, uzaktan yayın akışını ve veri sızdırmayı destekler.
- 8445 numaralı port (veya özel portlar), SOCKS5 tabanlı yerleşik proxy işlemlerini kolaylaştırır.
Bu bölümlü mimari, güvenilirliği ve operasyonel esnekliği artırırken, tespit çabalarını da zorlaştırıyor.
Siber Suç Faaliyetlerinde Yeni Bir Aşama
RAT ve konut proxy yeteneklerinin entegrasyonu, mobil tehdit tasarımında önemli bir evrimi işaret ediyor. Tarihsel olarak, proxy botnet'leri ele geçirilmiş IoT cihazları veya akıllı TV'ler gibi düşük maliyetli Android donanımlarıyla ilişkilendiriliyordu. Mirax, bu yeteneklerin tam özellikli bankacılık truva atlarına yerleştirilmesine doğru bir geçişi temsil ederek, her enfeksiyonun değerini ve saldırgan operasyonlarının çok yönlülüğünü önemli ölçüde artırıyor.
Mirax, finansal dolandırıcılık mekanizmalarını proxy altyapısıyla birleştirerek, tehdit aktörlerinin kurbanları doğrudan istismar etmelerini ve cihazlarını daha geniş siber suç ekosistemlerinde varlık olarak kullanmalarını aynı anda mümkün kılıyor.
