Mirax ЩУР
Нещодавно виявлений троян віддаленого доступу для Android, Mirax, активно атакує іспаномовні регіони за допомогою масштабних кампаній у соціальних мережах. Зловмисники використовували рекламу на таких платформах, як Facebook, Instagram, Messenger та Threads, охопивши понад 220 000 облікових записів. Таке широке поширення свідчить про продумані зусилля щодо використання надійних рекламних екосистем для розповсюдження шкідливого програмного забезпечення.
Зміст
Розширені можливості дистанційного керування
Mirax працює як високопродуктивний троян віддаленого доступу (RAT), надаючи зловмисникам повний контроль над зараженими пристроями в режимі реального часу. Його функціональність виходить за рамки стандартних операцій RAT, дозволяючи стежити та взаємодіяти із зараженими системами на детальному рівні. Можливості включають реєстрацію натискань клавіш, вилучення фотографій, збір даних екрана блокування, виконання команд, навігацію по інтерфейсу та постійний моніторинг активності користувачів.
Крім того, шкідливе програмне забезпечення може отримувати та відображати динамічні HTML-оверлеї зі своєї інфраструктури командування та управління (C2), що сприяє збору облікових даних через оманливі інтерфейси.
Перетворення жертв на проксі-інфраструктуру
Визначальною характеристикою Mirax є його здатність перетворювати заражені пристрої на житлові проксі-вузли. Завдяки підтримці протоколу SOCKS5 разом із мультиплексуванням Yamux, шкідливе програмне забезпечення створює постійні проксі-канали, які спрямовують трафік зловмисника через легітимні IP-адреси користувачів. Ця функціональність дозволяє зловмисникам обходити обмеження геолокації, уникати механізмів виявлення шахрайства та здійснювати шкідливі дії, такі як захоплення облікових записів, з підвищеною анонімністю та достовірністю.
Шкідливе програмне забезпечення як послуга з ексклюзивним доступом
Mirax рекламується як пропозиція Malware-as-a-Service (MaaS) під назвою «Mirax Bot». Доступ до повнофункціональної версії коштує 2500 доларів США за тримісячну підписку. Водночас доступна зменшена версія за 1750 доларів США на місяць, в якій відсутні такі функції, як функціональність проксі-сервера та можливості обходу Google Play Protect. На відміну від типових платформ MaaS, розповсюдження жорстко контролюється та обмежується обмеженою групою афілійованих осіб, переважно російськомовних учасників з усталеною репутацією на підпільних форумах. Ця ексклюзивність свідчить про навмисну зосередженість на операційній безпеці та стабільній ефективності кампанії.
Соціальна інженерія через шкідливу рекламу
Ланцюг зараження значною мірою спирається на оманливі рекламні кампанії, розміщені на платформах Meta. Ця реклама просуває шахрайські потокові сервіси, що пропонують безкоштовний доступ до спортивних трансляцій та фільмів у прямому ефірі, спонукаючи користувачів завантажувати шкідливі програми. Було виявлено кілька рекламних оголошень, з особливим акцентом на користувачів в Іспанії. Лише одна кампанія, запущена 6 квітня 2026 року, охопила майже 191 000 користувачів, що демонструє масштаб та ефективність цієї стратегії розповсюдження.
Витончені методи доставки та ухилення
Mirax використовує багатоетапний процес зараження, розроблений для уникнення виявлення та аналізу. Програми-дропери розповсюджуються через веб-сторінки, які забезпечують сувору перевірку доступу, гарантуючи, що продовжувати роботу можуть лише мобільні користувачі, блокуючи при цьому автоматичні сканування безпеки. Шкідливі APK-файли розміщуються на GitHub, що ще більше зливається з легітимною інфраструктурою.
Після виконання дроппер пропонує користувачам увімкнути встановлення з невідомих джерел, запускаючи складний процес вилучення корисного навантаження, розроблений для обходу пісочниці та інструментів безпеки. Потім шкідливе програмне забезпечення маскується під програму для відтворення відео та запитує дозволи служби доступності, що надає йому широкий контроль над операціями пристрою, працюючи непомітно у фоновому режимі. Відображається фальшиве повідомлення про помилку встановлення, щоб ввести користувачів в оману, а шкідливі накладки приховують поточну активність.
У кампанії було використано кілька оманливих ідентифікаторів додатків:
StreamTV (org.lgvvfj.pluscqpuj або org.dawme.secure5ny) – функціонує як дроппер
Відеовідтворювач (org.yjeiwd.plusdc71 або org.azgaw.managergst1d) – доставка корисного навантаження Mirax
Архітектура командування та управління та канали зв’язку
Mirax встановлює кілька двонаправлених каналів зв'язку зі своїми серверами C2, що забезпечує ефективне виконання завдань та витік даних. Окремі WebSocket-з'єднання використовуються для різних операційних цілей:
- Порт 8443 відповідає за керування віддаленим доступом та виконання команд.
- Порт 8444 підтримує віддалену потокову передачу та вилучення даних.
- Порт 8445 (або користувацькі порти) забезпечує роботу проксі-сервера для житлових приміщень на основі SOCKS5.
Така сегментована архітектура підвищує надійність та операційну гнучкість, водночас ускладнюючи зусилля з виявлення.
Новий етап в кіберзлочинних операціях
Інтеграція можливостей RAT та проксі-серверів для житлових приміщень сигналізує про значну еволюцію в розробці мобільних загроз. Історично проксі-ботнети асоціювалися зі скомпрометованими пристроями Інтернету речей або недорогим обладнанням Android, таким як смарт-телевізори. Mirax являє собою зсув у напрямку вбудовування цих можливостей у повнофункціональні банківські трояни, що значно збільшує як цінність кожного зараження, так і універсальність операцій зловмисників.
Поєднуючи механізми фінансового шахрайства з проксі-інфраструктурою, Mirax дозволяє зловмисникам одночасно безпосередньо експлуатувати жертв та використовувати їхні пристрої як активи в ширших кіберзлочинних екосистемах.
